半年前と、少々古いネタだけど、
前・総務大臣で、現・自民党サイバーセキュリティ対策本部長の
高市早苗衆議院議員が自身のコラム(ブログ)で
医療機器のサイバーセキュリティについて言及されとった
水面下では、
この分野への臨床工学技士の関わりについても
なんらかの動きがある模様...注視せねば (め_め)ジッ...
医療・水道分野のサイバーセキュリティ(2018年03月08日)
早苗コラム(衆議院議員 高市早苗ブログ)より
今週の自民党サイバーセキュリティ対策本部では、「重要インフラ13分野」のうち、「医療」「水道」の分野について、所管する厚生労働省から説明を聴取し、議論をしました。
近年、医療機関において、マルウェア感染などによる個人情報や診療情報の流出に加え、診療業務に関わる業務システムが利用できなくなる被害が発生しています。
患者情報、診療履歴、保険・カード支払い情報などの個人情報が電子的に取り扱われるようになり、これらの機密情報は、攻撃者にとって価値が高く、標的とされています。
今後、医療分野では、ネットワークを介した医療情報の共有や遠隔運用の取組みが更に進み、IoTやスマートフォンから送信されるバイタルデータなどを活用したヘルスケアへの取組みも拡大していくでしょう。
私達にとって、予防医療や遠隔医療によるメリットは大きいのですが、様々なデバイスを通じて医療機器や業務システムが不正アクセスされる可能性が増加しますから、機微情報の流出や、生死に関わる重大インシデントに繋がるリスクも懸念されます。
(中略)
国内外の主なインシデント事案を紹介します。
第1に、サイバー攻撃によるインフラ障害です。
2016年には、米国とカナダの医療機関で、ランサムウェアによる暗号化被害が相次ぎました。院内ネットワークに侵入したマルウェアがローカルサーバーを介して院内PCに感染し、PCを使った業務が一切できなくなるなどの影響が発生しました。
昨年(2017年)には、英国で、複数の病院のコンピュータシステムがWannaCryの被害によってロックされ、ネットワークでのオンライン接続を遮断。外来患者の予約、診断、手術をキャンセルする事態となりました。
第2に、サイバー攻撃による改竄や機密情報流出です。
2016年には、米国で、医療保険情報1000万件が漏洩し、ダークウェブで販売されました。
2017年には、リトアニアで、美容外科クリニックが被害を受け、2万5千件以上の患者情報を公開されました。
昨年は、日本でも、病院や介護施設を運営するグループのホームページへ不正アクセスがあり、24の関連サイトが改竄され、訪問者が第三者サイトへ誘導される状態になりました。大手製薬会社が個人情報流出の被害を受けた他、新潟大学医歯学総合病院のWebサイトが改竄されました。
第3に、ハッキングや機器の脆弱性の発覚です。
2012年には、医療機器で使われている遠隔操作のソフトウェアについて脆弱性が発覚し、米国のFDA(食品医薬品局)が製品回収情報を公表しました。
2013年には、ICS-CERTが、医療機器のパスワードの脆弱性について警告しました。40ベンダ約300の医療機器(麻酔器、人工呼吸器、薬物注入ポンプなど)に関係し、機器によっては遠隔操作が可能だという指摘がありました。
2017年には、岡山大学病院で、患者情報を保有した医療用端末がウィルスに感染し、外部との不正通信が確認されました。
(中略)
対策としては、「多層的な防御と対処態勢の整備」が求められます。
医療分野のセキュリティ対策については、外部からの侵入だけではなく、USBなどから、マルウェアが病院内の複数の業務システムに広く感染するケースも多いですから、パブリックエリア(外来者が利用するエリア)、オフィスエリア(一般業務のエリア)、セキュリティエリア(機密情報を扱うエリア)などで、ネットワークやシステムアクセス権限を区分し、業務やデータの機密性に応じたインフラの設計と運用管理を実施することが必要です。
また、医療機器や水道制御システムは、10年以上使用されることもありますから、古いバージョンのソフトウェアが利用されているケースが数多く残存しています。
OSのアップデートや不具合対策のモジュール適用も、本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しく、一般の情報系システムに比べて対策が難しい状況だそうです。
これらシステムの脆弱性を十分に把握した上で、多層的な防御を実施していかなければなりません。
そして、他分野同様、「情報の共有」は重要です。
医療分野では、医療機器製造業者、医療機関、脆弱性や攻撃の分析を行うセキュリティ機関、規制やガイドラインを提供する国や自治体などが、協調して対応する必要があります。
医療分野でも水道分野でも、未だ「ISAC( Information Sharing and Analysis Center)」が設立されていません。
医療ISACの設立に向けては、自民党の自見はなこ参議院議員(医師)が、日本医師会幹部の先生方と議論を重ねながら、道を拓いて下さりそうです。
加えて、これも他分野同様、「人材の育成」が急がれます。
医療機関や水道関連組織でも、CISO(最高情報セキュリティ責任者)を始めセキュリティ対策を実施する人材が不足しており、各レイヤの人材に対するセキュリティ教育の底上げを図る必要があります。
また、両分野とも制御系機器を扱っていますから、IT系(情報系)とOT系(制御系)双方のスキルを持つ人材が求められます。これは、先週に議論した電力・ガスなどの分野と同じです。
サイバー攻撃に対する検知・解析・対処について、サプライチェーンや分野を横断して連携して対応できる実践的訓練環境の整備・充実も必要ですね。
ISAC(アイザック)とは...
Information Sharing and Analysis Centerの略。
同じ業界の民間事業者同士でサイバーセキュリティーに関する情報を共有し、
サイバー攻撃への防御力を高めることを目指して活動する民間組織。
米国では1999年から2000年にかけて連邦政府主導で金融、通信、電力、緊急時対応の4分野で設立し、
その後食品業界や交通インフラ事業者などにも設立の動きが広がった。
日本では...
金融業界:銀行、証券会社、保険会社などによる、金融ISAC
電力業界:発電事業者、送電事業者、ガス供給事業者などによる、電力ISAC
通信業界:ISP(通信)各社による、Telecom-ISAC
ソフトウェア業界:ソフトウェア開発・管理事業者による、Software ISAC
上記の通信業界とソフトウェア業界に加え、放送事業者、情報提供サービス事業者、情報関連機器製造事業者などによる、ICT-ISAC
...などが設立され活動している
医療業界だって、
医療施設関連団体、職能団体、医療機器製造業などが
タッグを組んでやらねばならん話
...なんだけど、日本の医療業界って、
本業以外の事に関しては動きが鈍いよね(苦笑)
業を煮やして、国からお声をかけた感じ!?
さて...文中の「IT系(情報系)とOT系(制御系)双方のスキルを持つ人材」とは?
本文中に医療ISACの設立に関して、
「自民党の自見はなこ参議院議員(医師)が 〜 道を拓いて下さりそう」とあるが、
すでに臨床工学技士には、それとなしに話が来てた!?
日本臨床工学技士連盟に
関連の勉強会へのお誘いがあったりしたし、
日本臨床工学技士会も呼応して動きがある模様!?
議連ができてから、動きが活発になってきたね(笑)
連盟理事長のブログにも、
これ関連の投稿があったね
「サイバーセキュリティー対策と臨床工学技士」廉(れん)より
新たな職域?
現状の医療機器保守管理の延長線上?
どのみち、避けては通れぬ道だよね(汗)
しっかり勉強しておこうっと(笑)
前・総務大臣で、現・自民党サイバーセキュリティ対策本部長の
高市早苗衆議院議員が自身のコラム(ブログ)で
医療機器のサイバーセキュリティについて言及されとった
水面下では、
この分野への臨床工学技士の関わりについても
なんらかの動きがある模様...注視せねば (め_め)ジッ...
医療・水道分野のサイバーセキュリティ(2018年03月08日)
早苗コラム(衆議院議員 高市早苗ブログ)より
今週の自民党サイバーセキュリティ対策本部では、「重要インフラ13分野」のうち、「医療」「水道」の分野について、所管する厚生労働省から説明を聴取し、議論をしました。
近年、医療機関において、マルウェア感染などによる個人情報や診療情報の流出に加え、診療業務に関わる業務システムが利用できなくなる被害が発生しています。
患者情報、診療履歴、保険・カード支払い情報などの個人情報が電子的に取り扱われるようになり、これらの機密情報は、攻撃者にとって価値が高く、標的とされています。
今後、医療分野では、ネットワークを介した医療情報の共有や遠隔運用の取組みが更に進み、IoTやスマートフォンから送信されるバイタルデータなどを活用したヘルスケアへの取組みも拡大していくでしょう。
私達にとって、予防医療や遠隔医療によるメリットは大きいのですが、様々なデバイスを通じて医療機器や業務システムが不正アクセスされる可能性が増加しますから、機微情報の流出や、生死に関わる重大インシデントに繋がるリスクも懸念されます。
(中略)
国内外の主なインシデント事案を紹介します。
第1に、サイバー攻撃によるインフラ障害です。
2016年には、米国とカナダの医療機関で、ランサムウェアによる暗号化被害が相次ぎました。院内ネットワークに侵入したマルウェアがローカルサーバーを介して院内PCに感染し、PCを使った業務が一切できなくなるなどの影響が発生しました。
昨年(2017年)には、英国で、複数の病院のコンピュータシステムがWannaCryの被害によってロックされ、ネットワークでのオンライン接続を遮断。外来患者の予約、診断、手術をキャンセルする事態となりました。
第2に、サイバー攻撃による改竄や機密情報流出です。
2016年には、米国で、医療保険情報1000万件が漏洩し、ダークウェブで販売されました。
2017年には、リトアニアで、美容外科クリニックが被害を受け、2万5千件以上の患者情報を公開されました。
昨年は、日本でも、病院や介護施設を運営するグループのホームページへ不正アクセスがあり、24の関連サイトが改竄され、訪問者が第三者サイトへ誘導される状態になりました。大手製薬会社が個人情報流出の被害を受けた他、新潟大学医歯学総合病院のWebサイトが改竄されました。
第3に、ハッキングや機器の脆弱性の発覚です。
2012年には、医療機器で使われている遠隔操作のソフトウェアについて脆弱性が発覚し、米国のFDA(食品医薬品局)が製品回収情報を公表しました。
2013年には、ICS-CERTが、医療機器のパスワードの脆弱性について警告しました。40ベンダ約300の医療機器(麻酔器、人工呼吸器、薬物注入ポンプなど)に関係し、機器によっては遠隔操作が可能だという指摘がありました。
2017年には、岡山大学病院で、患者情報を保有した医療用端末がウィルスに感染し、外部との不正通信が確認されました。
(中略)
対策としては、「多層的な防御と対処態勢の整備」が求められます。
医療分野のセキュリティ対策については、外部からの侵入だけではなく、USBなどから、マルウェアが病院内の複数の業務システムに広く感染するケースも多いですから、パブリックエリア(外来者が利用するエリア)、オフィスエリア(一般業務のエリア)、セキュリティエリア(機密情報を扱うエリア)などで、ネットワークやシステムアクセス権限を区分し、業務やデータの機密性に応じたインフラの設計と運用管理を実施することが必要です。
また、医療機器や水道制御システムは、10年以上使用されることもありますから、古いバージョンのソフトウェアが利用されているケースが数多く残存しています。
OSのアップデートや不具合対策のモジュール適用も、本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しく、一般の情報系システムに比べて対策が難しい状況だそうです。
これらシステムの脆弱性を十分に把握した上で、多層的な防御を実施していかなければなりません。
そして、他分野同様、「情報の共有」は重要です。
医療分野では、医療機器製造業者、医療機関、脆弱性や攻撃の分析を行うセキュリティ機関、規制やガイドラインを提供する国や自治体などが、協調して対応する必要があります。
医療分野でも水道分野でも、未だ「ISAC( Information Sharing and Analysis Center)」が設立されていません。
医療ISACの設立に向けては、自民党の自見はなこ参議院議員(医師)が、日本医師会幹部の先生方と議論を重ねながら、道を拓いて下さりそうです。
加えて、これも他分野同様、「人材の育成」が急がれます。
医療機関や水道関連組織でも、CISO(最高情報セキュリティ責任者)を始めセキュリティ対策を実施する人材が不足しており、各レイヤの人材に対するセキュリティ教育の底上げを図る必要があります。
また、両分野とも制御系機器を扱っていますから、IT系(情報系)とOT系(制御系)双方のスキルを持つ人材が求められます。これは、先週に議論した電力・ガスなどの分野と同じです。
サイバー攻撃に対する検知・解析・対処について、サプライチェーンや分野を横断して連携して対応できる実践的訓練環境の整備・充実も必要ですね。
ISAC(アイザック)とは...
Information Sharing and Analysis Centerの略。
同じ業界の民間事業者同士でサイバーセキュリティーに関する情報を共有し、
サイバー攻撃への防御力を高めることを目指して活動する民間組織。
米国では1999年から2000年にかけて連邦政府主導で金融、通信、電力、緊急時対応の4分野で設立し、
その後食品業界や交通インフラ事業者などにも設立の動きが広がった。
日本では...
金融業界:銀行、証券会社、保険会社などによる、金融ISAC
電力業界:発電事業者、送電事業者、ガス供給事業者などによる、電力ISAC
通信業界:ISP(通信)各社による、Telecom-ISAC
ソフトウェア業界:ソフトウェア開発・管理事業者による、Software ISAC
上記の通信業界とソフトウェア業界に加え、放送事業者、情報提供サービス事業者、情報関連機器製造事業者などによる、ICT-ISAC
...などが設立され活動している
医療業界だって、
医療施設関連団体、職能団体、医療機器製造業などが
タッグを組んでやらねばならん話
...なんだけど、日本の医療業界って、
本業以外の事に関しては動きが鈍いよね(苦笑)
業を煮やして、国からお声をかけた感じ!?
さて...文中の「IT系(情報系)とOT系(制御系)双方のスキルを持つ人材」とは?
本文中に医療ISACの設立に関して、
「自民党の自見はなこ参議院議員(医師)が 〜 道を拓いて下さりそう」とあるが、
すでに臨床工学技士には、それとなしに話が来てた!?
議連設立総会の時の自見はなこ議員(左端) |
関連の勉強会へのお誘いがあったりしたし、
日本臨床工学技士会も呼応して動きがある模様!?
議連ができてから、動きが活発になってきたね(笑)
連盟理事長のブログにも、
これ関連の投稿があったね
「サイバーセキュリティー対策と臨床工学技士」廉(れん)より
新たな職域?
現状の医療機器保守管理の延長線上?
どのみち、避けては通れぬ道だよね(汗)
しっかり勉強しておこうっと(笑)
0 件のコメント:
コメントを投稿