医療機関においてセキュリティ対策は急務です。yamoryでは今後、導入支援コンサルティングサービスの提供をはじめ、医療機器のSBOM対応など、サプライチェーン全体のサイバーセキュリティ対策支援を強化してまいります。
-
大阪急性期・総合医療センターにおける脆弱性管理PoCと脆弱性管理体制の構築支援
大阪急性期・総合医療センターでは、2022年10月末にランサムウェア攻撃により電子カルテなどが暗号化され、外来診療や各種検査の停止など大きな影響を及ぼしました。「医療機関は閉域網だからセキュリティは問題ない」といった誤った認識により、セキュリティに関する意識が薄れていたことがサイバー攻撃被害の要因の1つとして報告されており、全国の医療機関において閉域網のセキュリティ対策は喫緊の課題となっています。
大阪急性期・総合医療センターでは、より一層のセキュリティ対策強化のため、SAJがセキュリティ対策の調査・アドバイザリー業務を行っています。その一環として、2023年5月から8月にかけて、yamoryを活用した脆弱性管理PoCを実施しました。同センターでは、Windows・Linuxサーバーや、医療機関特有の閉域網やネットワーク機器等、多岐にわたるITシステムコンポーネントを利用しています。yamoryを活用することで、閉域網・ネットワーク機器を含めたITシステム全体の脆弱性の検知・一元管理が可能であることが確認できました。
さらに、今後のセキュリティ対策強化策として、脆弱性が発見された際の対処方法や報告手順をまとめた手順書を策定し、脆弱性管理体制の構築支援を行いました。
▲脆弱性管理、監査運用ルール手順書(一部抜粋/イメージ)
※SAJは、ソフトウェア製品に係わる企業が集まり、ソフトウェア産業の発展に係わる事業を通じて、我が国産業の健全な発展と国民生活の向上に寄与することを目的としている一般社団法人です。あらゆるモノにソフトウェアが使われる時代になり、デジタル化によってソフトウェアの重要性が増しています。デジタル社会を推進するために、「ソフトウェア( 国) の未来を創る」をビジョンに見据え、ソフトウェアに関わるすべての組織(チーム)・人をサポートすることをミッションとし、活動しています。
また、Software ISACを組織し、サイバーセキュリティ対策にも力を入れており、ランサムウェアなどのサイバー攻撃に困窮する病院や自治体などの公益団体に対する技術的支援や、運用面の制度確立のための支援を行うためのサイバーセキュリティボランティア制度を運用しているほか、医療機関のセキュリティ対策アドバイザー業務等を実施しています。
-
大阪急性期・総合医療センター 情報企画室 上野山様 コメント
昨年のインシデントを経て、当センターではサイバー攻撃への対策を強化すべく様々な取り組みを進めています。今回脆弱性調査を行った結果、閉域網内のサーバー群やネットワーク機器等のセキュリティ対策において、yamoryが有用であるということがわかりました。
今後、ベンダーからサーバやネットワーク機器等が納品される際には、検収時のチェックツールとして活用するほか、システム利用期間中の脆弱性管理ツールとしての活用も検討していきたいと考えています。
-
医療機関向けyamory導入支援コンサルティングサービス(本日提供開始)
昨今医療機関へのサイバー攻撃が増加しており、社会インフラとしての医療提供体制を守るため、セキュリティ対策は急務です。こうしたサイバー攻撃に備えるため、厚生労働省が5月31日に「医療情報システムの安全管理に関するガイドライン 第6.0版」(※1)を、6月9日には「医療機関におけるサイバーセキュリティ対策チェックリスト」(※2)を公表するなど、国としても対策に力を入れています。
そこでyamoryでは、医療機関のセキュリティ対策強化を支援するため、「医療機関向け導入支援コンサルティングサービス」の提供を開始いたします。医療機関では、専門人材の不足により、脆弱性管理がまだまだ進んでいない状況にあります。本サービスは、ホストスキャン、ネットワーク機器の登録といった導入手順から、脆弱性管理体制、運用ルールの構築について、yamory専門チームが併走しながら支援を行うものです。
▲医療機関向けyamory導入支援コンサルティングサービス概要
また、医療機関のみならず、医療機関で使用される医療機器も含めたサプライチェーン全体で連携して対策を行う必要があります。3月31日には、IMDRFガイダンス(※3)の技術基準などを明確化した、医療機器メーカー向けの「医療機器のサイバーセキュリティ導入に関する手引書」(※4)が発表され、これらを踏まえた内容が2023年4月から薬機法の医療機器基本要件基準に取り込まれることになりました。この中で、SBOM(製品部品表)の対応が求められており、医療機関では納品された医療機器のSBOMを受け取り、脆弱性の管理・運用を行う必要があります。
yamoryでは、医療機関特有の閉域網やネットワーク機器を含めた脆弱性管理はもちろん、IMDRF等のガイドラインに準じたSBOM管理が可能です。今後の取り組みとして、SBOM管理等の支援も行っていく予定です。
社会インフラとして欠かせない医療機関のセキュリティ対策強化のため、yamoryは脆弱性管理・セキュリティ対策支援を強化してまいります。
※1:https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
※2:https://www.mhlw.go.jp/content/10808000/000845417.pdf
※4:https://www.mhlw.go.jp/content/11120000/001094637.pdf
-
Hospital Management Japan Summit 2023
yamoryは、2023年9月6日(水)、7日(木)に開催される、全国の理事長・院長など病院経営者の方々が一堂に会するビジネスサミット『Hospital Management Japan Summit 2023』に参加します。上記の事例や「医療機関向け脆弱性管理導入支援コンサルティングサービス」等について、会場にてお話させていただきます。
■開催概要
【名称】Hospital Management Japan Summit 2023
【日程】2023年9月6日(水)、7日(木)
【会場】ホテル椿山荘東京
【主催】マーカス・エバンズ・イベント・ジャパン・リミテッド
■詳細は下記よりご確認ください。
-
お問い合わせ
サイバーセキュリティ対策強化を検討中の医療機関ご担当者様は、ぜひお気軽にお問い合わせください。
お問い合わせ先:https://yamory.io/contact/
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
Twitter:https://twitter.com/yamory_sec
運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、SalesTechの領域においても、新規事業を次々に立ち上げている。
