全日病ニュース
ウイルス感染の経路やセキュリティの必要性を講義
ウイルス感染の経路やセキュリティの必要性を講義
【医療DX人材育成プログラム⑧】
リスクに備えた対策についても解説
高橋泰 国際医療福祉大学教授、全日病広報委員会特別委員
院内のDX化が適切に推進できる院内人材を養成する目的で、全日本病院協会は、広報委員会を担当委員会とし、日本医療教育財団、介護・医療見える化・効率化協会と共同共催で、「2023年度医療DX人材育成プログラム(全10回)」を開講した。今回は、第8回目の講習会の内容を紹介する。
第8回講習会が、10月19日(木)13時〜 16時にZoomで開催され、136病院、312人が参加した。
前半は、筆者により「セキュリティが必要な理由と今後のトレンド」という講演が行われた。まずセキュリティとはウイルスプログラムをシステムにいれないことであることが説明され、ウイルスがシステムに入った場合、どのようなことが起きるかが紹介された。
次に、セキュリティを担う、①VPN回線(仮想専用回線)②ファイアウォール③ワンタイムパスワード④NACアドレス認証⑤ウイルスソフト⑥サンドボックスなどの仕組みの紹介をした。
例えば、病院セキュリティの要である②ファイアウォールは、図1に示すように、インターネット経由でやってくるファイルには、必ず「ヘッダ」と呼ばれる送信元・送り先や通る経路を示す情報(IPアドレスやポート番号)を記載した情報が付加されている。ファイアウォールは外部(インターネット)と内部(LAN)の接点に配置され、「ヘッダの内容をチェックし、事前に通行を許可された情報(IPアドレス・ポート)と合致するファイルだけの通行を許可する。一方、合致しない場合は、通行を許可しない」という関所の門番のような働きを行う。ファイアウォールを設置することにより、危険なファイルをLAN内に取り込まない、あるいは、機密書類などの重要情報を外に出さないことになる。ファイアウォールは、システムと外部の接点に設けられた関所の番人のような役割を担っている。他のシステムも、それぞれのやり方でウイルスをチェックしたり、システムに侵入しても稼働しないようにするなどして、ウイルスからシステムを守っている。
その後、2021年10月31日未明に発生した徳島県の病院がランサムウェアの攻撃を受けた事例を紹介された。この病院では、図2に示すように、①セキュリティーホールを塞がなかった②アンチウイルスソフトがoffになっていた③ Windows Updateとパーソナルファイアウォールがoffなど、セキュリティの基本が多数できていなかった。このような脆弱なシステム環境をねらって、電子カルテのファイルを暗号化し、「暗号を解くキーを欲しいならば、お金を支払え」という脅迫文を送るランサムウェアというウイルスが侵入し、病院システムが長期にわたり停止した。
後半では、前半のセキュリティの概要の講義を受ける形で、小林土巳宏氏(株式会社MEMORI)により「セキュリティ」の基本的知識についての講義が行われた。
まず「セキュリティ・リテラシー」とは、デジタルツール(ITツール)やシステム、インターネットなどを安全に使うために必要な知識や技術を身に付け、実践できる能力(スキル)であると説明された。次にリスクには、①不審なメールを開封してしまい、サイバー攻撃の被害を受け、PCやネットワークがマルウェア(ウイルス)に感染する「外的リスク」と、②従業員のミスで、機密情報・個人情報の漏洩が発生する、あるいは個人情報が含まれるデータを社外に持ち出し、紛失する「内的リスク」があることの説明があった。このようなリスクを防ぐため全職員を対象として、少なくとも年1回、情報セキュリティ教育(研修)を実施することが必要である。また基礎編として、パスワード管理、電子メールの誤送信、ウイルス対策、SNSの利用、バックアップ、公衆無線LANの危険性について学ぶ。応用編として、バックアップの実施、ウイルス対策、内部不正による情報漏洩の防止の理解度を高めることが大切である。また、個人と組織でセキュリティリスクが違うこと、独立行政法人情報処理推進機構が無料で有効なテキストを提供していることが紹介された。
次の「セキュリティ技術」の講義では、オンプレミスの病院情報システムにおけるウイルス侵入のあしがかりになる弱点(セキュリティーホール)や、グーグル・アマゾン・マイクロソフトのプラットフォームのセキュリティの仕組みを説明した。
最後の講義である「セキュリティマネジメント」では、セキュリティ・ポリシーを作成し、PDCA サイクルを回し、継続的に改善を図るという基本的な流れが説明された。
最後にオンラインを通して講義内容の振り返りテストを行い、第8回の講習会が終了した。
図1:ファイアウォールが行っていること
図2:ランサムウェアの被害を受けた病院のシステム上の問題点
全日病ニュース2024年2月1日号 HTML版
-
[1] 医療機関のサイバーセキュリティ対策チェックリスト | 医療情報 ...
https://www.ajha.or.jp/mail_tmp/211021/211021_4.pdf
セキュリティ専門知識を持つ者等と協力して脆弱性検査を実施し、既知の脆弱性の ... パーソナルファイアーウォールの導入等により、情報端末が情報漏えい、改ざん等の ...
-
[2] 「医療情報システムの安全管理に関するガイドライン 第 5.1 版」の ...
https://www.ajha.or.jp/mail_tmp/210201/210201_2.pdf
2021/01/29 ... 情報セキュリティマネジメントシステム(ISMS)の実践」においても「C ... 場合は、コンピュータウイルス対策ソフトやパーソナルファイアウォールの導入等に.
-
[3] 「医療情報システムの安全管理に関するガイドライン 第 6.0 版」の ...
https://www.ajha.or.jp/topics/admininfo/pdf/2023/230601_2.pdf
2023/05/31 ... 6.2 ISMS(Information Security Management System:情報セキュリティマネジメントシステム). 医療情報システムの情報セキュリティを確保するため ...
以下のキーワードをクリックすることで、全日病サイト内から関連する記事を検索することができます。