悪質で巧妙化するサイバー攻撃、狙われる医療機関システム

医療機関へのサイバー攻撃によって、電子カルテの閲覧や利用ができなくなる事案が相次いで発生しています。医療機関は大量の個人情報を取り扱うことから、サイバー攻撃の対象になりやすく、いまだに被害が後を絶ちません。個人情報が流出するケースもあり、セキュリティ対策が追いついていない医療機関が多いという現状があります。

例えば、地域の中核となる病院がランサムウェアによるサイバー攻撃を受けたことで、電子カルテシステムが停止するという事案が発生しました。診療再開までに約2カ月を要するなど、地域医療に大きな影響を与えることとなりました。また、ある医療センターでは、医用画像参照システムに不正アクセスがあり、一部のデータベースが破壊されました。この攻撃を受け、サーバーからの画像データの復旧をセキュリティ専門業者に委託する事態に陥りました。

厚生労働省のガイドラインでは、薬局にもセキュリティ強化が求められる

こうした背景のもと、厚生労働省では保健医療機関や薬局の情報セキュリティについて「医療情報システムの安全管理に関するガイドライン」を策定しています。このガイドラインでは、主にアクセスログの保存や、認証の強化（二要素認証）が求められています。さらに、令和5年5月にはこのガイドラインは改定され、ゼロトラスト思考に基づく対策の考え方や自然災害、サイバー攻撃を想定したデータのバックアップ保存などの記載が追加されました。

アクセスログの保存については、「誰が」「いつ」ログインしたのか、「何を」操作したのかを特定できるように記録し、定期的に確認することが求められます。アクセスログは、少なくとも利用者のログイン時刻やアクセス時間、ログイン中に操作した医療情報が特定できるように記録する必要があります。

また、医療現場では、1つの端末を複数の利用者で共有するケースは珍しくないのが実状です。ゆえに他人になりすまして医療システムを利用することは比較的容易な環境もみられます。前に使っていた利用者が、医療システムをログオフせずに離席した場合、その間に別の者が端末を操作することは可能で、なりすましのリスクは高まります。こうしたリスクを低減させるためには、実際に共有端末に「誰が」「いつ」アクセスしていたのかを把握する仕組みが必要となります。

取り組みは始まっている！調剤システムへの二要素認証によるセキュリティ強化

セキュリティ対策の強化が求められるなかで、一部の医療機関や調剤薬局では、セキュリティガイドラインに基づく二要素認証やアクセスログの保存といった実践的な取り組みが始まっています。一方で、医療業界のシステム提供を行うベンダーにおいても、セキュリティ対策の強化に向けた提案の動きが加速しています。

医療機関や調剤薬局向けにさまざまなシステムを提供する株式会社トーショーでは、医療機関や調剤薬局の調剤システムにおける共有端末のアクセスログの保存や二要素認証の実装に取り組んでいます。同社では、薬剤を包む機械である「分包機」を管理端末に接続して運用していますが、この管理端末のセキュリティ強化を実現するため、「ARCACLAVIS（アルカクラビス）」との連携に踏み切りました。

ARCACLAVISは、二要素認証を含む多要素認証、シングルサインオン（SSO）に対応した認証セキュリティソリューションです。従来のID／パスワード認証に加えて、顔認証やICカード認証を使った多くの手段で認証することができます。特に顔認証では、まばたき検知によって「人」であることを判定できるなど、高いセキュリティを確保しています。また、ICカードはFeliCaやMifare、マイナンバーカードでも読み取ることができ、柔軟な認証方法を選択できるのが特長です。

共有端末に「誰が」「いつ」アクセスしていたのかを把握できる仕組みを構築

さらにARCACLAVISは、共有端末において「誰が」「いつ」「どの端末に」ログインしたのか、アクセスログとして記録・保存することができます。二要素認証によって負担を抑えながら、よりセキュアに運用することができます。

トーショーはエンドユーザーの調剤システムをリプレースするにあたって、アクセスログの保存や二要素認証を含むセキュリティ対策の強化に取り組む必要がありました。その理由には、エンドユーザーとなる医療機関や調剤薬局側の「医療情報システムの安全管理に関するガイドライン」への対応がありました。

そこで2021年5月、同社はセキュリティガイドラインに対応できる製品の選定に踏み切ります。その後、ARCACLAVISにたどり着き、「ARCACLAVIS LOCKey」によるスタンドアロン版の検証を開始。ARCACLAVISを採用した大きな要因は「1端末で複数ユーザーを認証できるのが大きかった」とトーショーの担当者は話します。ICカード認証によって、「誰がいつログインして利用したのか」をログで追跡できるため、ガイドラインに沿ったアクセスログ保存に対応できるためです。

さらに2022年2月、セキュリティガイドラインに基づくシングルサインオンの実装に取り組みます。トーショーでは、「ARCACLAVIS Ways」に備えられているシングルサインオン機能によって、ICカード認証をすると業務アプリケーションのID／パスワードを自動入力できる構成を実現しました。これにより、現場のオペレーションを可能な限り維持しながら、認証にかかる手間を低減させてセキュリティの強化を果たしています。

ARCACLAVISは、両備システムズのテクニカルサポートを受けられたため、スムーズに実装することができたといいます。トーショーは、システムに詳しい人がいれば導入ハードルはそれほど高くないと話します。また、薬の分包機を止めずに調剤システムの利用者の切り替えができる点も高く評価しています。医療現場で使い慣れたシステムを大きく改修せずに、ガイドラインに対応したセキュリティ強化を実現するARCACLAVISと連携した、多要素認証やシングルサインオン実装への取り組みは、同社は今後、医療機関や調剤薬局に対して提案を広げていく見通しです。

医療情報システムのセキュリティを見直すためのポイント

昨今、ますます巧妙化するサイバー攻撃。厚生労働省によるセキュリティガイドラインは、今後も段階的なセキュリティ強化への対応が求められていくものと思われます。令和5年5月の改訂版では、医療情報システムの中でも薬局内のセキュリティ対策の強化についても言及されています。そして、医療情報システムのセキュリティを見直すうえで、重要なポイントは大きく以下の2点です。

• 令和6年までに端末ごとの利用者識別に対応していること
• 令和9年までに二要素認証に対応していること

医療機関や薬局におけるシステムを取り巻くセキュリティ体制の見直しには、現状を踏まえて必要に応じた対策を実施する必要があります。セキュリティ対策における現状を把握するには、MDSチェックシートを活用しながら、どこがボトルネックとなっているかを可視化するとよいでしょう。

【出典】厚生労働省

https://www.mhlw.go.jp/content/10808000/001253950.pdf

安全で安心な医療サービスを提供することは、患者を守ることにもつながります。セキュリティ対策の強化について、何をどうすべきかといった指針を立てにくい医療機関や調剤薬局は、システムベンダーやセキュリティのスペシャリストに診てもらうのも選択肢の1つです。両備システムズは、厚生労働省の医療情報ガイドラインを見据えたうえで、医療機関や調剤薬局に向けた価値あるソリューションの提案をしています。現在のシステムの活用状況（AsIs）や、将来展望（Tobe）に沿った支援を提供することができるので、一度相談してみてはいかがでしょうか。

取材協力

株式会社トーショー

1971年に設立された株式会社トーショーは、医療や調剤の現場に向けた機械やシステムの提供を行っている。病院薬局・調剤薬局の設備および機器をはじめ、薬局における環境設備器具や薬剤包装機のほか、医療用の総合機材など、幅広く製造・販売・卸売を手がける。

https://www.tosho.cc

関連サービス