医療ISACは2021年11月に(特非)デジタル・フォレンジック研究会 医療分科会と共同で、「医療機関向けランサムウェア対応検討ガイダンス」を公開いたしました。
それ以降も国内の医療機関を対象としたランサムウェア攻撃は続発しており、その意味でも、本ガイダンスはいまだ有効性があると考えられます。
その一方で、医療機関から様々に行われる当法人への相談・懸念事項のなかには、マルウェアファイルを添付した電子メールの開封、あるいは最近流行りのサポート詐欺等による情報漏えいを目的としたサイバー攻撃、またインターネットに公開したウェブサイトの改ざん事案等、ランサムウェア以外のサイバー攻撃への問い合わせが高止まりの状況にあります。
こうした状況を踏まえ、医療ISACでは、そのような相談・懸念事項類を傾向分析し、特に国内の医療機関のIT担当者がランサムウェア以外のサイバー攻撃への備えを考えるうえでの検討ポイントを整理した資料を今回公開することとしました。
基本的な構成は「医療機関向けランサムウェア対応検討ガイダンス」を援用しているため、その意味で本資料はガイダンスを追補する資料として位置付けており、一部の検討ポイントはガイダンスの内容を踏襲する構成としているため、本資料を確認する際にはガイダンスの内容もあわせて確認していただければと思います。
また、23年4月から、医療法施行規則14条2項の改正に伴い、サイバーセキュリティが医療機関の安全管理の一部として求められることになり、監督官庁による立入検査においてサイバーセキュリティ管理状況の確認チェックリストが公開されております。
ただし、このチェックリストはあくまでランサムウェア等により、患者診療に直結する医療情報システムの継続性を担保するための未然防止、および拡大防止策に焦点が置かれているといえます。
患者情報の漏えいやウェブサイト改ざん等の事案はあくまで周辺的な位置にあるといえますが、こうした事案への備えも医療機関においてはきわめて重要であることは言うまでもありません。
そのため、本資料では、各検討ポイントについて、23年6月に厚生労働省が公開した、立入検査向けのチェックリストにおける各チェック項目と紐づけて、患者診療に直結する医療情報システムの継続性確保の要件の観点より、どのように考えるべきかについての補足もあわせて行っています。
チェックリストの要求事項は字義通りに逐語解釈するのでなく、リスクベースで医療機関のIT管理状況全体を考慮した観点より<想像力>をもって対応しなければなりません。こうした<想像力>を喚起させるための補助線を本資料ではあわせて解説しています。
なお、2021年10月に厚生労働省が公開した「医療情報システム等の障害発生時の対応フローチャート」をもとに、今回の検討ポイントを埋め込んだ資料も取りまとめ、合わせて公開しております。
上記内容をもとに、ランサムウェアのみでなく、情報窃取やウェブ改ざん等のサイバー攻撃への対策検討を医療機関において実施することを推奨いたします。
今回リリースした資料は下記からダウンロードできます。
情報搾取+ウェブ改ざん対策検討資料
情報搾取+ウェブ改ざん対応検討フローチャート(Excel)
医療ISACの会員になれば、その他の有用な情報も受け取れますので、まだ会員登録されていない方は「医療ISAC一般会員」(入会金・年会費無料)へのご入会をご検討ください。