医療機関の情報セキュリティ対策:早急にゼロトラストモデルの構築を

サイバー攻撃を受けた時のイメージ画像。なんかかっこいい。

医療機関へのサイバー攻撃と課題

昨年のつるぎ町立半田病院へのサイバー攻撃以降、医療機関に対するサイバー攻撃(情報セキュリティインシデント)が取り沙汰される機会が増えているように感じています。

当然ですが病院をはじめ医療機関の専門は医療分野のため、情報セキュリティに関する情報や対策をベンダー企業に頼る部分が大きいです。そんな中、情報セキュリティに対する都市と地方のベンダー格差の記事を見かけました。

本文中では以下のように強い口調で書かれている部分もあります。

まさに診断できなかったというよりも、診断すべきベンダー(システムを導入、運用管理すべき業者)が誤診を行い、あるいは重篤な病状(脆弱性の数々)を知っていながら、病院側を安心させるために詭弁を弄していたのです。その詭弁の根本は「閉域網」という謎の言葉です。

https://news.yahoo.co.jp/byline/moriimasakatsu/20220609-00299961

ですが、私の職場でも医療機器としては今でも問題なく使えるものの、ネットワークに繋がっている医療機器のOSにXPベースのWindows Embedded Enterpriseが使われていたりと、情報セキュリティ対策を進めるには難しい環境なのも事実です。

もちろん情報セキュリティ対策が必要な事は事実ですが、情報セキュリティ対策のために医療機関の本来行為に必要な医療機器を使わない(使えない)となってしまうと本末転倒です。かと言って、今更XPベースのOSにウイルス対策ソフトを導入しても情報セキュリティ対策としてはほとんど役に立たないでしょう。

などの理由もあり、以下の参考リンク(閲覧には会員登録が必要です)でも、これまでのセキュリティ対策に加えて早急にゼロトラストモデルの構築が必要と言われています。

病院情報システム(電子カルテシステム)のセキュリティはどのように担保するか―病院の情報セキュリティ、再確認を◆前編

今回は、実際の導入事例も参考にしながら、医療機関の情報セキュリティ対策としてのゼロトラストモデル構築の利点と欠点を考えてみたいと思います。

ゼロトラストモデル

最初の引用にも書かれていますが、これまでの情報セキュリティ対策の基本は、サイバー攻撃の脅威が存在する「外部ネットワーク」と脅威が存在しない「内部ネットワーク」の境界を重点的に守る「境界型」の対策です。

それに対して、ゼロトラストモデルでは「内部・外部のネットワーク」に関わらずサイバー攻撃の脅威が存在すると仮定して情報セキュリティ対策を行います。

具体的な例として、使用するIT機器(医療機器)に対するエンドポイントセキュリティでは、ユーザーがPCなどの端末やネットワーク上で実行できることを制限する厳格なポリシーを使用してシステムとデータへのアクセスを制御することでマルウェア感染やその他の脅威から保護します。

医療機関では他にもネットワークセキュリティとして、通信を行う相手を厳格に制御する(医療機器から外部への通信は遮断など)ことも必要になります。

ゼロトラストモデルでは上記のように内部ネットワークであっても安全では無い前提のもと、仮にマルウェア感染が起きたとしてもエンドポイントやネットワーク機器のセキュリティポリシーが適応される事で被害を最小化すると考えます。

ゼロトラストモデルが必要な理由

現場の部門から考える医療機関の情報セキュリティの課題」でも挙げていますが、医療機関の情報セキュリティ対策が進まない大きな理由は「1.病院情報システムの複雑さ」と「2.職員のITリテラシーの低さ」です。特に「1.病院情報システムの複雑さ」では、部門システム・医療機器へのセキュリティアップデートが少ない事もあり、脆弱性が放置されたままのIT機器も多く存在します。

そんな状況ですから、何らかの理由で適切な運用がされず内部に脅威が侵入した場合、外部のネットワークよりも危険な環境になる事は簡単に想像できます。

そして、組織としては運用でカバーするために情報セキュリティポリシーを定めていても、意図せず間違えた操作をしてしまう場合もあり、情報セキュリティポリシーを100%守る事は難しいのが現実です。

医療機関ではありませんが、こんなニュースもありました。

また、アンチウィルスソフトが導入されている場合でも、マルウェアには既知の脅威だけでなく「未知の脅威(ゼロデイ攻撃など)」も存在しますし、VPN機器の脆弱性などサイバー攻撃の脅威は日に日に増えているのが現実です。

そのため、特に「脆弱性の残るIT機器が多い環境」になりやすい医療機関では、既存の「境界型」の防御と「情報セキュリティポリシーの遵守」に加えてゼロトラストモデルの構築・導入が、これから増える情報セキュリティインシデントへの対策として重要と考えています。

ゼロトラストモデルの医療機関への導入事例と感想

ITmediaのPR記事がきっかけですが、APPGUARDでエンドポイントセキュリティを導入した医療機関の事例がありました。

紹介ではふるまい検知型のエンドポイントセキュリティ製品のようです。20年間一度も破られたことはありませんとあるので、検知のアルゴリズムは優れているようです。

AppGuard webサイトのスクリーンショット
https://www.blueplanet-works.com/solution/appguard.htmlより

ユーザー(IT担当者)の評価

「AppGuardに出会ったことで、セキュリティに対する考え方が全く変わりました。『侵入されても動作させなければ大丈夫』との発想に共感して、採用を決定しました。以前利用していたウィルス対策ソフトに比べると、AppGuardは割高でしたが、十分そのコストに見合う効果が得られる、本当に安心できるセキュリティソフトだと感じています。」

https://www.blueplanet-works.com/news/detail.html?id=2047

事例の感想

当然ですがまず何よりも、導入できるIT機器のエンドポイントセキュリティが強化される点は大きな利点だと思いました。事例でもEmotetに感染しても動作はしなかったとの事なので、万が一脆弱性の残っている医療機器に侵入されたとしても、感染の広がりは抑えることができそうです。

また、事例ではIT担当者が以下のようにも述べています。

「順番は逆かもしれませんが、AppGuardを入れたことで自然と運用のルールができあがっていきました」

https://www.blueplanet-works.com/case/enterprise-case13.html#/

ゼロトラストモデルが必要な理由でもあるように医療機関では本来業務が優先されるため、どうしてもITリテラシーの優先順位は下がってしまいます。どれだけ高額で高性能なシステムを導入したとしても、不適切な使い方では本来の機能は発揮できません。

今後の医療機関の情報セキュリティ対策を進めるためにも職員のITリテラシー向上は必須だと考えていることもあり、一部ではあっても、運用ルールではなくシステムとして組み込める点はIT担当者にはとても大きなメリットだと思います。

まとめ

上記の通り、医療機関では脆弱性の残ったままの医療機器が電子カルテシステムを始め、ネットワークに接続されて使用されているのが現実です。当然、情報セキュリティを優先して医療行為が制限される事は、医療機関の本来目的からも許容できません。

とは言え、医療機関に対するサイバー攻撃の脅威は日に日に増加しているため、従来の情報セキュリティ対策だけで防ぎきることは難しくなる事は想像できます。

今後、情報セキュリティを確保しながら医療的には問題なく使える機器を少しでも安全に使うためにも、医療機関は早急にゼロトラストモデルを導入して備える必要があると考えています。

もちろん、エンドポイントセキュリティだけで情報セキュリティの確保は難しく、医療機器によっては追加アプリケーションのインストールができない場合も多いです。エンドポイントセキュリティだけでなくネットワークセキュリティ、場合によってはクラウドセキュリティの全てに、ゼロトラストモデルを当てはめて情報セキュリティ対策を進めることが必要だと考えています。