コラム

医療機関のDX化と同時に進める不正アクセス対策
~医療情報システムの安全管理に関するガイドライン最新版が公開~

医療機関のDX化と同時に進める不正アクセス対策 ~医療情報システムの安全管理に関するガイドライン最新版が公開~

目次

医療機関に急増するランサムウェアの被害

国内外における医療機関のセキュリティ対策が課題になっています。

2021年10月末、徳島県にある病院はサイバー攻撃に遭い、電子カルテのシステムがランサムウェア(身代金要求型ウイルス)に感染したことを皮切りに、日本全国に2021年暮れから2022年明けにかけて、同様なサイバー攻撃に遭い、院内システムが停止したため、いまだに通常診療を再開できない病院もあります。

同院は院外ネットワークと電子カルテサーバーを接続していた米国社製VPN(複数拠点を仮想的なネットワークでつないで安全なデータ通信を実現する仕組み)の脆弱性だとされています。
この度、厚生労働省は「医療情報システムの安全管理に関するガイドライン第5.2版」を公開し、被害が増加している身代金要求型コンピューターウイルス「ランサムウェア」への対策を新たに明記し、バックアップデータは独立して保管する、サイバー攻撃を受けた後の対応などが盛り込まれました。また利用者識別・認証においては2027年3月末時点で稼働するシステムは二要素認証が必須条件であることが示されております。

PassLogicでは高まるサイバー攻撃のリスクにおいて、脆弱となるVPN装置の多要素認証を提供する他、アクセスや利用者の識別、認証セキュリティシステムのデータの保管、利用、権限管理において高い利便性と脅威から遠ざけるソリューションを展開しています。

医療情報システムの安全管理に関するガイドライン 第5.2版におけるPassLogicの対応

3月末に第5.2版への改訂により従来サイバー攻撃の一層の多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じている被害が見られる一方、今回の改訂では、外部アプリケーションとの連携における利用者識別の認証・許可とランサムウェアによる攻撃への対応としてバックアップのあり方などの対策を示されております。

具体的には電子カルテシステムなどの利用者の識別・認証は二要素認証の採用を必須とし、2027年3月末時点で稼働しているシステムは二要素認証の採用を条件として挙げています。
その他ログイン情報の窃取や、なりすましログインへの対応も強化されています。

医療現場での実務担当者がセキュリティを意識せずに安全性を確保できることが大事

ガイドラインへの対応を進めると同時に利便性は低下していきます。大切なのは、セキュリティを意識せずに安全性の確保と利便性を両立させることです。PassLogicは医療従事者が現場で本業の医療行為に専念できるよう、製品の設計と開発を行っており、以下ガイドラインに示されている要件においてPassLogicはガイドラインを満たす機能とサービスを提供しております。

技術的安全対策

・利用者の識別認証について
2027年度時点で稼働する医療情報システムは今後、新規導入または更新に際しては、二要素認証又はこれに相当する対応を最低限対策として記載されております。

 [PassLogicの二要素認証]
PassLogicで実現できる二要素認証は「知識認証」と「所持認証」です。

今回のガイドラインには安全と考えられる推定困難なパスワードに関する要件化も含まれております。医療機関では脆弱性を狙った高度なサイバー攻撃や不正アクセス、なりすましが増加傾向にあり、従来のようなログイン時のID・パスワードを入力する手法だけではセキュリティリスクを未然に防ぐことが難しいことはガイドラインにも反映された通りです。

PassLogicは「知識認証」と言われるトークンや指紋読み取り装置などの特別なデバイス不要で実現するワンタイムパスワードを提供する認証プラットフォームで、多要素認証(MFA)を実現しております。

医療情報システムの改造と保守

システムのメンテナンス要員が管理者モードで医療情報に触れる可能性があるため、PassLogicの認証管理システムではログイン可能なユーザの有効期限などを設けることが可能です。

情報及び情報機器の持ち出しならびに外部利用について

外部からのアクセスにおいて、認証情報の保護は不正アクセス防止の要になります。

ガイドラインでは、ノートパソコンや、タブレット、スマートフォン等を用いて医療情報システムにログインする場合においては、二要素認証を用いることが望ましいとされています。PassLogicは情報機器の持ち出しによるログイン時にパスワードの盗み見や漏えいなどを効果的に防止します。

災害、サイバー攻撃などの非常時の対応

医療情報システムの非常時使用への対応にて、PassLogicは非常用ユーザーアカウントの用意とサイバー攻撃を受けた時について侵害があったアカウントを一時的に停止することが可能です。また、PassLogic の認証サーバーは冗長化構成も可能です。

PassLogicクラウド版は冗長化構成が標準となっております。またバックアップからデータの復旧後の認証も即座に展開が可能です。

外部のネットワーク等を通じた個人情報を含む医療情報の交換にあたっての安全管理

医療情報を外部と交換する場合に、送信元から送信先に確実に情報を送り届けるための対策管理について記載があります。
データ送受信元での相手の確認を行う必要がある場合ですが、PassLogicのワンタイムパスワード認証手段をご利用いただけます。

ランサムウェア攻撃の発端となる「不正アクセス」に効果的なPassLogicのパターン認証

ランサムウェア攻撃の被害となる主たる原因の一つが「不正アクセス」です。

不正アクセスの防止は、アクセス先の識別を確実に実施するが重要であり、特に、“なりすまし”の防止は確実に行わなければなりません。対策としてまず挙げられるのは「認証強化」です。

PassLogicはパターン認証を応用した認証方式で、画面上のパターンをなぞるわけではなく、後からのぞき見られてもパターンは分かりません。入力する数列も都度変わりますので、入力された数列はいわば「使い捨て」です。また、キー入力を監視する「キーロガー」のようなツールを使われても、画面表示にある乱数表情報を同時に奪取しないと意味をなさないため、通常の固定パスワードで認証するよりも遥に強いといえます。

この認証方法は、特に医療機関における情報システムへの「利用者識別・認証」として、パスワードが推定困難などから、本人認証のために有効な手段です。現段階においては二要素認証実現するために対象となる医療情報システムは、利用に供する部屋の入室管理を個人ごとに特定できるようにする等の措置を講じて、全体として二要素認証に相当する安全性の確保を行う必要があります。

製品の詳細につきましては以下「ソリューション導入に関するお問合せ」にて製品資料をダウロードしてご確認ください。

ソリューション導入に関するお問合せ

・製品の資料請求、製品導入へのご相談は以下お問合せフォームからお問合せください。

関連項目・外部リンク

厚生労働省 医療分野のサイバーセキュリティ対策について

医療情報システムの安全管理に関するガイドライン 第5.2版 本篇(PDFファイル)

PAGE TOP