サイバーセキュリティ対策に関する緊急調査結果

サイバーセキュリティ対策に関する緊急調査結果について

 11月14日より実施しました、医療ISACどの共同調査「サイバーセキュリティ対策に関する緊急調査ご協力のお願い」につきまして、計897の医療機関からご回答をいただきました。

 調査結果を以下PDFよりご案内いたします。

 なお、一部抜粋して月刊保団連2023年2月号「特集:カルテが狙われる―医療機関のサイバーセキュリティ対策」でも掲載しております。

1.調査の背景・目的

 2022年においても国内の医療機関においてランサムウェア被害が多発している状況である。

 2022年10月には国内の医療機関でリモートメンテナンス用装置として多用されているFortinet社製品を対象とした深刻な脆弱性が新たに存在することが公開され 、当該脆弱性が放置された場合、外部の第三者が製品の管理画面に容易にアクセスし、ネットワーク内部へ侵入を行えるリスクが指摘されている。

 こうした脆弱性に対して、JPCERT/CCやIPA等もパッチ適用の必要性の注意喚起を行っている状況下において、大阪急性期総合医療センターが、外部の給食管理サービスを提供している外部事業者が利用していたFortinet社の製品の脆弱性が悪用され、ランサムウェア被害を受け、診療業務の継続性に深刻な被害が発生したことは記憶に新しい。

 厚生労働省が2022年11月に本件を受けて、医療機関が有する外部との接続経路を棚卸したうえで、適切なセキュリティ対策を講じることを緊急周知しているように、いまや医療機関の診療系ネットワークを外部と遮断した無菌室であるため、セキュリティ面で問題がないと考える「安全神話」は完全に崩壊したと言える

 一方、2022年1月~2月にかけての四病院団体協議会加盟組織のアンケート結果からも把握できる通り、国内の医療機関の多くは経済的・人的リソース不足により、こうした製品の脆弱性管理も含めて、医療情報システムのセキュリティ管理業務は外部ITベンダに依存せざるを得ない状況である。

 医療機関の基幹系システム=電子カルテシステムには高い可用性が求められることから、リモートメンテナンス接続経路が外部ITベンダにより設置されることはほぼ一般的である。こうしたリモートメンテナンスの保守業務も医療情報システムを提供する外部ITベンダに医療機関では委託しているが、その役割関係を明確に契約上で定義することはあまり実施されていないことも実情である。

 上記の国内医療機関を取り巻く現状を踏まえ、今回、医療ISACは全国保険医団体連合会と共同で、本会に所属する病院・診療所に対してリモートメンテナンスセキュリティ、外部ITベンダとの契約管理・コミュニケーション状況についてアンケートを行い、その結果を分析する。

2.調査対象

  • 実施期間:2022年11月15日~12月26日
  • 調査対象組織数:107,409人(全国保険医団体連合会加盟組織)
  • 回答組織数:897組織

3.調査項目

調査項目は以下の4つのカテゴリに基づき実施し、回答はすべて「はい」「いいえ(わからない)」のいずれかを選択するものとした。

①:リモートメンテナンス用製品の利用・把握状況

Q1:院内の医療情報システムのうち、1つでも、外部ITベンダによるリモートメンテナンスを許可していますか

Q2:Q1が「許可している」の場合、医療機関としてリモートメンテナンスで用いられるネットワーク機器(VPN機器)の製品情報、バージョン情報は把握できていますか。

-AFortinet社リモートメンテナンス用製品の利用・脆弱性対応状況

Q3:Q2が<把握している>の場合、その製品は2022年10月に脆弱性報告がされたForitnet社製品を利用していますか。

Q4:Q3が<利用している>の場合、2022年10月に告知された脆弱性について、自院として外部ITベンダに対応指示を行う、あるいは外部ITベンダから報告があり対応を行っていますか?

-B:それ以外のリモートメンテナンス用製品の利用・脆弱性対応状況

Q5:Q3が<利用していない>の場合、Foritnet社以外のリモートメンテナンス用のVPN機器の脆弱性パッチ適用を最新情報に基づき、定期的に自院として外部ITベンダに対応指示を行う、あるいは外部ITベンダから報告があり対応を行っていますか?

③:医療機関/ベンダーとのリスクコミュニケーション状況

Q6:医療機関として、電子カルテシステムや医事会計システム等、患者診療/医療経営の継続性に影響を及ぼす医療情報システムの保守管理について、外部ITベンダとの契約書・SLAの中で明示的にシステムセキュリティに関する責任分界(リモートメンテナンス機器のセキュリティパッチ適用は外部ITベンダの責任である旨の明記等)を取り交わしていますか

Q7:厚生労働省「医療情報システムの安全管理に関するガイドライン」に基づき、医療情報システムを提供する外部ITベンダから、システムの開発・保守、運用状況等について、システム・機器の脆弱性対応も含めて、一定の頻度(定期的)に基づき、医療機関として報告を受け、内容の確認を行っていますか?

Q8:Q7で<報告を受け、確認をしている>場合、外部ITベンダからの情報は、院内の医療情報システムのセキュリティを向上・改善するに資する、分かりやすく役に立つ報告内容の水準となっていますか。(運用状況をテクニカルに報告した内容のみで、医療機関のIT担当者やマネジメント層にとっては理解に悩む、一方通行的で、読解が困難な内容ではないですか)

4.全体結果総評

(1)アンケート回答した組織全897件のうち、院内システムにリモートメンテナンス環境を導入している組織は全体の7割に達しているが、院内でどのようなリモートメンテナンス機器が利用されているかについて正確に把握している組織はそのうち3割程度であった。

(2)22年10月に深刻な脆弱性の報告のあったForitnet社製品を利用している組織のうち9割近くが脆弱性対応を行っている一方で、それ以外の製品を利用している組織の5割強は脆弱性への対応を特に行っていない状況であった。

(3)Foritnet社製品の脆弱性の警告・報道が多く行われるなか、該当製品の脆弱性リスクへの意識は高まっているものの、それ以外の製品についてのリスク認識はまだ十分でない。

(4)Fortinet社製品か否かを問わず、リモートメンテナンス用機器には外部からの悪意あるアクセスを可能にしかねない脆弱性が継続的に発生し、適時の対応が求められるものである。そうしたリスク認識をしっかり持つことが医療機関にも求められる。

(5)ベンダとセキュリティ対応を含めた契約上の役割・責任を定めた契約を取り交わしている医療機関は全体の1割強であり、9割弱はそうした取り交わしを行っていない状況である。

(6)契約を取り交わしている医療機関の割合が、ベンダからの定期報告を受け、内容を確認している医療機関の割合とほぼ同率であることを考慮した場合、ベンダとしては、医療機関との間でセキュリティの役割・責任を含めた契約・SLAを明示的に取り交わさない限り、医療機関とのリスクコミュニケーションが難しいという一面がうかがえる。これは商慣習上の当然事であり、医療機関はベンダとの間で明確なセキュリティも含めた契約関係を合意し、ベンダの協力を仰げる態勢を整備することこそが重要といえる。

(7)一方、ベンダからの報告内容については、医療機関として理解しづらく、セキュリティ向上に役に立たないとの回答した組織が4割強存在した。

(8)経済産業省・総務省安全管理GLが求める、医療機関が安全管理措置を講じるためのサポート役として、医療機関と同じ目線に立ち、ベンダが医療セキュリティの改善に向けたリスクコミュニケーションの工夫を凝らすとともに、医療機関側のセキュリティリテラシーの向上も重要課題の一つといえる。