【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは？｜アクシオ×ソリトンシステムズ

医療情報システムを狙ったサイバー攻撃により、診療業務が妨げられる事例が増えていることを受けて、近年、サイバー攻撃対策を中心に医療情報セキュリティの見直しが行われています。その一環として、2023年5月に厚生労働省が発行する「医療情報システムの安全管理に関するガイドライン」が第6.0版に改定され、医療施設に求められるセキュリティ要件等が更新されました。

株式会社アクシオ（以下、アクシオ）と株式会社ソリトンシステムズ（以下、ソリトン）は、「医療ガイドライン第6.0版に準拠したセキュリティ対策を解説！」と題し、2024年1月にオンラインセミナーを共催しました。

この記事では、同セミナーを主催したアクシオ 営業本部 第１営業部の五十嵐氏、水村氏、大河内氏、および講演を担当したソリトン ビジネスディベロップメント推進本部 鎌田の計4名に実施したインタビューで語られた内容の中から、医療業界におけるサイバー脅威の動向や、ガイドライン改定のポイント、求められるセキュリティ対策についてご紹介します。

民間から公共まで　幅広いお客様のITインフラ構築をサポートしてきたアクシオ

変化が活発なIT業界において、民間企業から公共機関まで、高い技術力でお客様課題の解決を行ってきた株式会社アクシオ。1991年の創立以来、多様なITメーカーとの強固な協業関係を武器に、お客様のニーズに沿ったソリューションを提供してきました。中でもITインフラ領域に強みを持ち、提案から構築、運用、保守まで、一気通貫でお客様のサポートを行っています。

そのアクシオが、現在力を入れている領域のひとつが『ITセキュリティ』です。ソリトンとは特に公共分野において連携を強化しており、自治体における強靭性向上事業や文教におけるGIGAスクール事業などを中心に、ネットワーク分離システムやリモートワークのセキュリティソリューションの導入実績を増やしています。

高い成果を上げている公共分野に続き、セキュリティソリューションの注力先として改めて着目しているのが、医療業界です。これについて、アクシオの大河内氏は次のように述べます。 

“当社は医療機関のお客様を多数抱えており、そのうち一部はスタッフが常駐して、情報システム関連のサポートを行っています。これまで医療機関のITインフラ支援といえば、電子カルテにまつわるネットワーク構築をメインとしていましたが、今回のガイドライン第6.0版への改定を機に、セキュリティに対する意識やニーズがより高まっていくと感じました ”

続けて、五十嵐氏はこう補足します。

“医療機関のIT環境は、分離されたネットワークをはじめ、自治体や文教のお客様と通ずる特徴が多くあります。そこで、当社と共に自治体や文教向けにセキュリティソリューションの提供を続けてきたソリトンさんに声をかけて、医療機関の情報システム担当者様向けのセキュリティ対策セミナーを実施することにしたのです”

医療機関の被害が相次ぐサイバー攻撃　対策を促進するためのガイドライン改定

「医療ガイドライン第6.0版に準拠したセキュリティ対策を解説！」と題した本セミナーについて、ソリトンの鎌田は、「情報システム担当者が多忙であることを想定し、ポイントを絞って簡潔な内容に仕上げた」と話します。

はじめに講演の中で強調したのが、医療機関を狙ったサイバー攻撃の現状です。医療機関のお客様と数多くコミュニケーションを取ってきたアクシオの大河内氏は、次のように語ります。

“サイバー攻撃の手口は急速に多様化しており、セキュリティ対策は常にアップデートしていく必要があります。ただ、最新のサイバー攻撃のリスクや情報セキュリティに対するお客様の理解が、追いつかないケースも少なくありません。地域や規模を問わず、医療機関は等しくサイバー脅威に晒されているということを、改めて認識してもらわなければならないと考えました”

セミナーでは、ランサムウェア被害件数の推移や、被害事例について紹介。2019年以降は日本でもランサムウェア感染のインシデントが急増しており、医療機関は狙われやすいターゲットのひとつです。2021年4月以降、公に報告されたものだけに絞っても、10を超える病院でランサムウェア被害が発生しており、電子カルテや医療データの利用ができなくなった他、中には数ヶ月間にわたる業務停止に追い込まれた例もあります。

医療ガイドライン第6.0版も、医療機関のサイバー攻撃が増加している現状を踏まえて、その対策を推進すべく策定されたという側面があります。そこで、本セミナーでは改めてガイドラインの改定内容を振り返りました。 

アクシオの水村氏は次のように語ります。 

“医療ガイドラインの第6.0版では、1編構成から4編構成に変更となり、セキュリティ等の具体的な対策に関わる部分は基本的に『システム運用編』に統一されるようになりました。セキュリティ要件の記載箇所がまとまっている分、ある程度対策は取りやすくなったといえます。

また、以前は「最低限のガイドライン」と「推奨されるガイドライン」に分かれていた要件が、「遵守事項」に一本化されました。逆に言えば、求められるレベルが厳格になったと言うことです。具体的な達成期限が定められている項目もあるので、医療機関としても本格的にセキュリティ対策の強化をしなければならない時期に来ていると言えます”

ガイドラインに準拠したセキュリティ対策　3つのポイント

ガイドラインの改訂により、セキュリティに関する指針がより具体化されたとはいえ、対応すべき項目は多岐にわたります。何から手を付けるべきか迷っているという医療機関は多く、優先順位を考えなければ、具体的な取り組みをスタートしにくいでしょう。

そこで、本セミナーでは医療機関において検討の優先順位が高いと考えられるセキュリティ対策ソリューションを、「二要素認証・バックアップ・ネットワーク分離」の3つに絞って紹介。ガイドラインで重要となるポイントを示し、どのように対応すれば良いのかを解説しました。 

1. “医療業務を妨げない”二要素認証

検討すべき対策のひとつめは、二要素認証です。ガイドラインのシステム運用編 １４.１.１「利用者の識別・認証」に、『令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと」と明記されており、未対応のお客様にとって、二要素認証導入の検討は必須となっています。

これについて、ソリトンの鎌田は、医療情報への入り口である「端末」への二要素認証導入が効果的だと語ります。 

“電子カルテ端末を乗っ取られてしまうと、電子カルテ(HIS)ネットワークの中を自由に動き回られる恐れがあります。それを防ぐためにも、端末自体の不正利用を防止することから始めるのが良いと考えられます。 

ソリトンの「SmartOn ID」は、パスワードやICカード、生体情報であれば顔・指紋・指静脈など、あらゆる認証要素に対応したPCログオン認証強化製品です。手袋やマスクを外す必要がないICカード認証や顔認証は、現場業務のスピードを落としたくないお客様に高い評価をいただいています。利便性とセキュリティを両立する二要素認証として、医療機関での実績も豊富です”

2. “業務継続のための”バックアップ

医療機関においては、医療データ等のバックアップも欠かせません。ガイドラインの遵守事項としては、システム運用編１１「システム運用管理（通常時・非常時等）」に『重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフトウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの重要なファイルの復元手順を整備すること」と記載されています。 

ソリトンの鎌田は、具体的な対策のポイントについてこう話します。 

“ガイドラインの記載内容の背景として、ランサムウェアの被害を受けた事案のうち、約8割がバックアップを取っていてもデータを復元できなかったという事実があります。バックアップを取るだけで安心するのではなく、ランサムウェアからの攻撃リスクを最小限に抑えつつ、有事にきちんと復元できる仕組みを採用することが重要です。 

ソリトンの「VVAULT」シリーズは、バックアップファイル自体の感染を防ぐ「隔離領域へのレプリケーション」、特許技術により被害を最小限に留める「ランサムウェア攻撃検知・自動ブロック」、確実かつ素早いデータ復旧を実現する「タイムマシーン機能」の3つを備えています。これらにより被害を早期に発見し、短期間で攻撃を受ける前の状態に戻すことで、万が一の際の医療業務の継続をサポートします”

3. “安全かつ快適な”ネットワーク分離

脅威の潜むインターネットと、電子カルテ(HIS)ネットワークの分離も、医療機関には欠かせないセキュリティ対策の一つです。ガイドラインでは、システム運用編１３．１．１「セキュアなネットワークの構築」において、『セキュアなネットワークを構築するために、ネットワークの論理的または物理的な構成の分割、接続機器の制御、通信するデータの制御等のセキュリティ対策を実施する必要がある』等の記載があります。

従来、ネットワーク分離の手法としては「物理分離方式」が一般的でしたが、サーバーやネットワーク機器が別々に必要となるだけでなく、ユーザーは電子カルテ端末とインターネット接続用端末を使い分けなければならず、コスト面でも運用面でも負担となっていました。また「論理分離方式」では、VDIやSBCといった仮想基盤を活用し、インターネット接続環境にある仮想クライアントの画面を電子カルテ端末側に転送する手法が知られていますが、高額なコストと、レスポンスなどの快適性とのバランスが難点でした。

ソリトンの鎌田は、これらの課題を解消できるのが「端末内分離」だと言います。 

“端末内分離は「論理分離方式」の一種で、電子カルテ系を閲覧する汎用ブラウザと、インターネット系を閲覧する際に用いる専用のブラウザを使い分けて運用することで、電子カルテ(HIS)端末の中でインターネット環境を分離し、安全に利用できるようにします。

この方式において、国産製品No.1のシェア※1を誇るのが「Soliton SecureBrowser」です。実際に物理分離方式から移行した病院様の事例では、大幅にコストを削減できただけでなく、電子カルテ端末とインターネット用端末を持ち変える必要がなくなり、医療業務の効率化につながったとの声をいただいています。”

 ※1　ITR Market View：エンドポイント／無害化／Web分離／CASB／CNAPP／SOAR／ZTNA市場2023_5-1 Web分離市場より

アクシオ・ソリトン双方の強みを活かし、提案から導入までを幅広くサポート

医療機関が抱えている悩みを捉えた本セミナーは、視聴者から好評を博し、セミナー後のアンケートでは通常を大きく上回る回答率を記録しました。この結果について、アクシオの水村氏は次のように話します。 

“セミナー開始前は「どこから手を付けたら良いのかわからない」という視聴者が多かったはずですが、アンケートでは具体的な製品に関する問い合わせが多く見られました。自組織ではどのような対策を行うべきか、具体的なイメージを持っていただけた証拠だと捉えています。” 

また、ソリトンの鎌田は講演の手応えについて、 

“これまで、医療機関のエンドユーザー様にソリトンの名前を知ってもらう機会はそう多くありませんでした。製品を導入いただいていたとしても、ソリトン製だと認識されずに使われていたことがほとんどのはず。今回アクシオ様と一緒に講演を行えたことで、『ソリトンシステムズ』という名前を医療機関の皆様に知っていただけたのではないかと思います” 

大好評のうちに幕を閉じた今回のセミナー。今後の目標について、アクシオの水村氏は次のように語ります。

“まずは医療機関のお客様に向けて、電子カルテ端末の二要素認証を中心に提案していきたいと考えています。2027年時点では、全ての医療情報システムの利用時に二要素認証が必須となるため、今後のシステム更改時には間違いなく導入の本気度が高まるはずです。 

また、医療業界に限らず他業種でも、セキュリティガイドラインの新規策定や改訂が相次いでおり、二要素認証をはじめとしたセキュリティ対策の強化が進んでいくと予想されます。ソリトンさんと連携して、幅広いお客様のニーズに答えていくつもりです。”

最後に、ソリトンの鎌田はアクシオとの協業について次のように結びました。 

“アクシオさんは、ソリトンだけではアプローチできないエンドユーザー様とのつながりを多く作ってくれます。ソリューションの提案だけでなく、設計・導入まで力強く支援いただける貴重なパートナーです。

今後はさらにアクシオさんとの協業を強化し、医療分野だけでなくさまざまな業界のセキュリティ課題を解決することで、共にお客様の事業発展に貢献していきたいと考えています”

謝辞

株式会社アクシオ様、インタビューのご協力ありがとうございました。アクシオ様と協業することで、公共・医療業界をはじめ、さまざまなお客様に最適なソリューションをご提供することができております。これからもソリトンは、SmartOn IDやSoliton SecureBrowserをはじめとした、利便性と安全性を両立するセキュリティソリューションをお届けすることで、お客様のビジネスの安定化に貢献してまいります。

取材日：2024年3月6日
株式会社ソリトンシステムズ

関連リンク

【株式会社アクシオ様】　https://www.axio.co.jp/