医療機関で必要なサイバーセキュリティ対策を紹介|被害の具体例まで

更新日 2024.01.31
投稿者:横山 洋介

近年、医療機関へのサイバー攻撃が増加しています。
不正アクセスやランサムウェア感染によって、電子カルテをロックされ診療停止になる、情報を盗まれるなどの被害が発生しています。医療機関は患者さんの氏名から病歴まで重要な個人情報を扱うこともあり、セキュリティ対策は必須と言えるでしょう。

万が一セキュリティ対策が不十分な場合、サイバー攻撃によって診療停止、予定されていた手術や治療ができなくなり、最悪の場合、生死にかかわる事態になることも考えられます。

この記事では、医療機関のセキュリティ対策のポイントやおすすめのセキュリティ対策企業について解説します。信頼して診療を受けてくださる患者さんの安心と健康を守るためにも、ぜひ参考にしてください。

医療機関のセキュリティ対策の重要性

そもそも医療機関でのセキュリティ対策は、どうして重要と言われているのでしょうか。ここでは何のために対策をしなければならないのか、実際のサイバー攻撃の事例をふまえて解説していきます。

医療機関で取扱う情報の重要性

病院や医療機関で扱われる情報は、個人情報保護法で最も重要な情報の一つとして位置づけられています。特に「要配慮個人情報」として扱われることもあり、特別に保護されるべき情報です。

医療機関は、重要性をしっかり認識して、医療情報システムのセキュリティ対策を講じていく必要があるでしょう。

また、医療カルテは、医療機関で扱われる情報の代表格とされ、特に守るべき情報です。これらの情報をきちんと保護するために、適切なセキュリティ対策を講じることが大切と言えます。

増え続ける医療機関への攻撃

医療機関へ向けて毎日のように様々な手法で攻撃が仕掛けられています。一番多いのがランサムウェアによる攻撃です。

ランサムウェア攻撃によりシステムをロックされ、診療が止まってしまうこともあります。診療に支障をきたしてしまうと、患者様からの信頼をそこなう事態につながりかねません。このような事態を防ぐ為にも、医療機関でのセキュリティ対策は欠かせません。

政府も医療機関のセキュリティ対策強化を推進

政府は「医療情報システムの安全管理に関するガイドライン」を策定し、実施すべき内容や具体例等が記載されています。
個⼈情報の中でも、厳重な保護が必要とされる、患者の電⼦カルテなどの医療情報を、適切に管理するためのガイドラインと言えるでしょう。

医療情報システムの管理上の一次責任は医療機関側にある、との記載もあり、医療機関のセキュリティ対策強化に力を入れています。

医療機関が実際に被害を受けた事例

セキュリティ対策を十分にしていない状態で攻撃を受けた場合、甚大な被害が発生する可能性があります。
この章では、実際に近年発生した被害事例について、それぞれ説明していきますので、参考にしてください。

①愛知県の病院

2022年1月、VPN(外部接続サービス)の脆弱性からランサムウェア攻撃の被害に遭いました。
この影響で、電子カルテとバックアップデータが使用不能になり、会計システムも1ヶ月程使用不能になっています。電子カルテが使えない間は、手書きにて対応せざるを得なくなり、復旧には数ヶ月を要しました。

②大阪府の医療センター

2022年10月、ランサムウェア攻撃の被害に遭いました。電子カルテやバックアップデータなどが暗号化され、緊急以外の手術や外来診療を停止せざるを得なくなっています。
病院とシステムで連携している連携先の企業がウィルス感染し、その企業を通じて病院システムに侵入されて被害を受けた形です。
しばらくの間、紙カルテによる対応が必要となり、復旧には2ヶ月を要しました。

③徳島県の病院

2021年10月、院外との連携を行うVPNの脆弱性により侵入され、ウィルス感染・サイバー攻撃の被害を受けています。
電子カルテなどを管理するサーバーが暗号化され、使用不能になり、1ヶ月間外来や救急患者の受け入れを停止する形になりました。復旧には2か月以上かかっています。

医療機関でのセキュリティ対策のポイント

医療機関においてセキュリティ対策を行う場合、大きく分けて4つの対策ポイントにわけられます。
この章では、具体的にそれぞれ解説していきますので、参考にしてください。

技術的対策

医療機関でのセキュリティ対策は、ウィルス対策・ソフトウェアの適時アップデート・定期的なバックアップやログの分析など、技術的対策が一番大切です。
サイバー攻撃も日々進化していきますので、セキュリティ対策ソフトを用いるのはもちろん、専門のセキュリティ対策企業に依頼して支援してもらうといいでしょう。

組織的対策

院内の組織体制を整える事は容易ではありませんが、セキュリティ対策は、万全にしておかなければ診療停止にもなり得る、大事な役割です。
サイバー攻撃等の事業継続計画策定・情報収集・予算確保など、するべきことはたくさんありますので、まずは専門の担当者を配置することが大切と言えるでしょう。

人的対策

医療機関でのセキュリティ対策として、担当の職員に専門の教育を受けてもらうことは大切です。
ただし、近年のサイバー攻撃は進化しているので、多少研修を受けたくらいの知識では、なかなか成果につながりにくいのも事実と言えます。
専門のセキュリティ対策企業に依頼して支援してもらいながら、院内の担当として携わる形がベストでしょう。

物理的対策

入退室の管理をしっかりしておくことや、持ち帰り防止のためのロックなど、物理的な対策もあります。
ただし、外部からのネットワーク上での攻撃への対策ではないので優先度は低いと言えるでしょう。

医療機関におすすめのセキュリティ対策企業3選

医療機関におすすめのセキュリティ対策企業3選を紹介します。
ここで紹介する3社は医療機関に限らず、他の企業でも対応可能です。

対応の領域もまとめていますので、ご参照ください。

アライドテレシス株式会社

アライドテレシス株式会社

出典:アライドテレシス株式会社 https://www.allied-telesis.co.jp/solution/medical/security/

アライドテレシスは、サイバーセキュリティソリューション「Self-Defending Network」でサイバー攻撃から守ります。
このシステムは2020・2021年に5つの賞を受賞、世界に認められた技術です。

この技術をもとに、要望に応じて、サイバー攻撃の特定から防御・検知・対応・復旧まで、効果的なセキュリティ対策を提供していきます。

ソリューションを組み合わせることでネットワーク全体をカバーし、システム・端末・データを守ることができるでしょう。

アライドテレシス株式会社の比較ポイント

  • 世界に認められた技術で組織を守る
  • サイバー攻撃の特定から防御・検知・対応・復旧まで、効果的なセキュリティ対策
  • ソリューションを組み合わせてネットワーク全体をカバー

企業情報

会社名 アライドテレシスホールディングス株式会社
本社住所 東京都品川区西五反田7-21-11
ホームページ https://www.allied-telesis.co.jp/solution/medical/security/
対応領域 院内/患者用Wi-Fi、ネットワークの運用・管理、ネットワークの導入・運用、医療情報セキュリティ対策
ランサムウェア対策、安全なデータバックアップ、サーバーの仮想化、職員向け情報セキュリティ研修講座

トレンドマイクロ株式会社

トレンドマイクロ株式会社

出典:トレンドマイクロ株式会社 https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/healthcare.html

トレンドマイクロは、複数のポイントでセキュリティ対策を行い、独自のセキュリティアプリケーションやネットワークセキュリティ機能を提供しています。

その上、AI技術やクラウド型のセキュリティサービスを活用し、未知のウィルスへの早期対応や安全な通信環境を実現しているのです。

実際にサイバー攻撃にあってはなりませんが、万が一のために、ゲーム形式で、インシデント対応を訓練できる演習コンテンツも提供しています。

トレンドマイクロ株式会社の比較ポイント

  • 複数のポイントでセキュリティ対策
  • AI技術やクラウド型のセキュリティサービスで早期で安全な通信環境を実現可能
  • インシデント対応を訓練できる演習コンテンツ

企業情報

会社名 トレンドマイクロ株式会社
本社住所 東京都渋谷区代々木2-1-1
ホームページ https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/healthcare.html
対応領域 院内/患者用Wi-Fi、ネットワークの運用・管理、ネットワークの導入・運用
医療情報セキュリティ対策、ランサムウェア対策、安全なデータバックアップ
仮想パッチによる脆弱性感知、AIによる未知マルウェア検知強化
職員向け情報セキュリティ研修、インシデント対応シミュレーションゲーム

ソリトンシステムズ

ソリトンシステムズ

出典:ソリトンシステムズ https://www.soliton.co.jp/

ソリトンシステムズは独自の技術により、システム内の不審な動きを通知し、監査対象のログの絞り込みと速やかな対応が可能です。
ソリトンシステムズのシステム「InfoTrace Mark II」は、ランサムウェア検知情報をもとにブラックリストを作成し、不審プロセスをブロックします。

万が一のときのインシデント対応を支援する機能やパターン非依存の5つのランサムウェア対策エンジンが搭載されていることも特徴です。

また、情報セキュリティ部門向けのイベントマネジメント機能も実装されています。

ソリトンシステムズの比較ポイント

  • 独自の技術でランサムウェア検知、監査対象のログの絞り込みと速やかな対応
  • インシデント対応を支援する機能やパターン非依存の5つのランサムウェア対策エンジンを搭載
  • 情報セキュリティ部門向けのイベントマネジメント機能も実装

企業情報

会社名 株式会社ソリトンシステムズ
本社住所 東京都新宿区新宿 2-4-3
ホームページ https://www.soliton.co.jp/
対応領域 院内/患者用Wi-Fi、ネットワークの運用・管理、ネットワークの導入・運用
医療情報セキュリティ対策、ランサムウェア対策、安全なデータバックアップ
インシデント対応を支援機能、情報セキュリティ部門向けのイベントマネジメント機能

まとめ

この記事では、おすすめのセキュリティ対策企業3社を紹介し、医療機関のセキュリティ対策の重要性や医療機関のセキュリティ対策のポイントについても説明しました。

医療機関で必要なサイバーセキュリティ対策企業はたくさんありますが、それぞれ対応領域や特徴が異なり、まずは情報を集めて比較検討をすることが重要です。

医療機関でどのサイバーセキュリティ対策企業に依頼するか迷った際には、今回紹介したおすすめの中から問い合わせてみてはいかがでしょうか。

最適なサイバーセキュリティ対策企業を選び、より患者さんから信頼される医療機関を実現しましょう。


セカンドラボ株式会社 PR Solution Div.
URL:https://note.com/2ndlabo/n/n33882f74cd71

国立大学を卒業後、新聞記者として4年間勤務。2020年よりセカンドラボ株式会社に入社。医療福祉施設の課題解決プラットフォーム「2ndLabo」にて各種ITツール、レジの導入支援、クリニック開業支援に従事。

2ndLaboのサービスを通じて、これまで1,000件を超えるサービス導入支援・開業支援を担当。得意分野はレジ関連(POSレジ、自動精算機)、ナースコール、レセプト代行。

関連記事

PAGE TOP