医療分野では、サイバー攻撃が起きた場合、身体的また社会的情報など患者の個人情報が漏洩するおそれがあります。さらに、電子カルテなどの医療情報システムが停止し、その結果として診療や手術などが実施できなくなる可能性があります。これは、人命に直結する重大な問題であり、サイバーセキュリティ対策をより一層強化することが求められています。
GMOサイバーセキュリティ byイエラエは、これまで培ったサイバーセキュリティの技術と知見をDX化が進む医療業界に提供し、医療機関や医療現場で利用される機器およびシステムの安全性の向上に貢献してまいります。
-
【包括的な対策支援サービス「GMOサイバーセキュリティfor医療」】
(問い合わせはこちら:https://gmo-cybersecurity.com/contact/)
「GMOサイバーセキュリティ for医療」は、GMOサイバーセキュリティ byイエラエが提供しているサイバーセキュリティのサービス・プロダクトを用いて、包括的に医療機関や医療機器メーカーのセキュリティ対策を行うパッケージです。具体的には、サイバーセキュリティコンサルタントサービスや脆弱性診断、ペネトレーションテスト、サイバー事故対応支援サービスに加えて、SOCサービスや自社開発のASM(※1)ツール「GMOサイバー攻撃 ネットde診断」(※2)による情報資産の可視化と脆弱性管理などを実施いたします。
(※1)Attack Surface Managementのこと。サイバー攻撃の起点となりえるインターネットからアクセス可能な情報資産を調査し、それらの情報資産に潜在する脆弱性を定期的に評価する取り組み。
(※2)https://product.gmo-cybersecurity.com/net-de-shindan/lp_standard/
-
【医療分野でのサイバーセキュリティの義務化】
■顕在化している医療機関等のサイバーセキュリティリスク
2022年10月末に起きた大阪急性期・総合医療センターのランサムウエア被害では電子カルテを含む総合情報システムが停止し診療機能に多大な影響を及ぼしました。公開された情報セキュリティインシデントの調査報告書(※3)によると、被害が拡大した原因として「組織的なITガバナンスの欠如」のほか「閉域網の安全性を過信していたこと」などセキュリティ対策への意識が薄れていたことなどが、サイバー攻撃を受けた要因として報告されています。
2023年4月の医療法施行規則の改正では医療機関等へのサイバーセキュリティが義務化され、2023年5月には医療機関が行うべきサイバーセキュリティ対策として「医療情報システムの安全管理に関するガイドライン」の第6版が策定されました。これにより、医療機関だけではなく、医療機器開発においても今後製品ライフサイクルの全てにおいて、ガイドラインの内容を理解した上で管理者はサイバーセキュリティを確保する取り組みを行うことが求められています。
■求められるセキュリティ対策の水準
JSAGROUP(日本規格協会グループ)が発行する「JIS T 81001-5-1」には、脅威モデルで特定、評価した脅威の軽減策の有効性を試験する脅威軽減試験や、ヘルスソフトウェアの脆弱性試験や侵入試験(ペネトレーションテスト/ペンテスト)が定義されています。また、医療機器の開発においては「医療機器のサイバーセキュリティ導入に関する手引書(※4)」の内容を理解した上で「JIS T 81001-5-1」に準拠したサイバーセキュリティ対策を実施することが必須となります。
一方で、実際に対応を進める担当者の中には「サイバーセキュリティについて今まで意識したことがないので何から手を付けていいかわからない」「サイバーセキュリティに関する知識に乏しく、ガイドラインの内容を読み解くのも難しい」「何をすればガイドラインの要件を満たしたことになるのかわからない」といった課題を抱えてしまう場合もあります。
「GMOサイバーセキュリティfor医療」ではお客様の課題に合わせて最適なセキュリティ対策支援サービスを提案します。必要に応じてガイドラインを理解しているサイバーセキュリティの専門家がお客様の状況や抱える問題をヒアリングして、最初に何をすべきかや、今後どんな対策をすべきかを提案するので、専門的なサイバーセキュリティの知識がなくても、医療機関や医療機器メーカーのみなさまの領域ごとのサイバーセキュリティ対策をサポートできます。
(※3)「情報セキュリティインシデント調査委員会報告書」https://www.gh.opho.jp/pdf/report_v01.pdf
(※4)「医療機関における医療機器のサイバーセキュリティ確保のための手引書」https://www.mhlw.go.jp/content/11120000/001094637.pdf
■医療機器向けサイバーセキュリティ対策支援例
|
名称 |
主な内容 |
|
リスクマネジメントプロセスの内製化支援 |
1)リスクマネジメントプロセスの教育 2)中間成果のレビュー 3)成果のレビュー |
|
リスクマネジメントプロセスの実施 |
リスクマネジメントプロセスの実施 |
|
脅威軽減試験 |
リスクマネジメントプロセスで特定された脅威が 適切に軽減されているか擬似攻撃で評価 |
|
脆弱性試験 |
a) 外部インタフェースおよびプロトコルに対する試験 b) システムのアタックサーフェイスに対する試験 c) ソフトウェアに対する既知脆弱性スキャン d) ソフトウェアコンポジション解析 e) ファジング試験 |
|
侵入テスト |
攻撃者目線でヘルスソフトウェアの脆弱性を悪用する擬似攻撃を行い、現実にどのような問題を引き起こせるか評価 |
■医療機関向けサイバーセキュリティ対策支援例
|
名称 |
主な内容 |
|
情報資産の棚卸しと脆弱性管理 (GMOサイバー攻撃 ネットde診断) |
GMOサイバー攻撃 ネットde診断の導入 専門家によるアドバイザリーサービスの提供 |
|
医療情報システムの監視サービス |
・スマートログ分析(EDR/WAF) ・セカンドオピニオン |
|
事故対応支援サービス |
・インシデントハンドリング支援 ・デジタルフォレンジック調査 |
-
【GMOサイバーセキュリティ byイエラエについて】
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「誰もが犠牲にならない社会」をミッションに掲げ、ホワイトハッカーによる攻撃者目線のセキュリティ対策を提供しています。
以上
【サービスに関するお問い合わせ先】
● GMOサイバーセキュリティ byイエラエ株式会社
営業部 星
TEL:03-6276-6045
E-mail:hoshi@gmo-cybersecurity.com
