医療ヘルスケアのサイバーセキュリティ対策と情報共有（ISAC：Information Sharing and Analysis Center）のあり方研究会

抄録

活動成果の概要

　厚生労働省の調査研究：地域医療基盤開発推進研究事業「医療分野の情報化の推進に伴う医療機関等におけるサイバーセキュリティ対策のあり方に関する調査研究」を行い，成果発表と情報収集を目的に2022年日本医療情報学会春季学術大会 大会企画セッション3「サイバー攻撃から医療機関を守るために何をするべきか？」，2022年日本遠隔医療学会 遠隔医療基盤検討分科会 企画シンポジウム「ランサムウェア攻撃に対するバックアップを考える」，2022年度医療情報学連合大会シンポジウム「サイバー攻撃から診療記録を守るために何をするべきか？」，2023年日本遠隔医療学会スプリングカンファレンス・シンポジウム「厚生労働行政推進調査事業報告 病院のサイバーセキュリティの現状」を企画した．6月の日本医療情報学会春季学術大会ではCSIRT活動を中心にシンポジウムを行い，Response Teamといえども，事前の院内外ネットワーク調査，機器の資産管理台帳の作成と更新の重要性が確認された．また，脆弱性についての攻撃では，密かに潜伏し，最大で100日程度も潜伏する場合も指摘があり，バックアップデータ保存期間に関する情報を得た．これにより10月の日本遠隔医療学会学術大会では，暗号化されないバックアップとしてテープよりも回復の高速なフラッシュメモリーのベンダーと従来のテープバックアベンダーからの講演をいただいた．最近のテープでは巻き戻し不要の管理容易な状況と垂直磁化による今後の大容量化からWrite-Once保存による暗号化阻止の提案があった．医療情報学連合大会のシンポジウムでは，大阪府急性期総合医療センター事例が話題にされ，対策，管理方法，IPAのCSIRT活動，ストレージ会社やネットワーク会社の情報を報告した．

　2月の2023年日本遠隔医療学会スプリングカンファレンスでは，大阪急性期総合医療センター調査に参加したシスコより，ネットワーク内の隠れたウイルスの検知のためNDRによる調査に時間を要したこと，NDRについてはネットワークベンダーによっては設定変更のみ，あるいは別ベンダーのネットワーク内に機器を用意する必要があることも報告された．

　また，zero trust architectureでも基本のサーバ，ネットワーク機器のauthentication, authorizationの状況について管理者に同一のID，パスワードが使われている可能性が指摘され，システム導入時の設定としてそのような状況で引き渡されることから，保守移行時に見直されていない可能性が指摘された．

　また，近藤は日本放射線技術学会の教育講演，シンポジウムにて放射線部門の情報収集し，放射線機器の保守外部接続がベンダー主導で設定され，FWやGW機器の統合化があまりされていない状況を指摘した．また，個人的な経験からhttps接続による画像取得し読影レポートを返す画像診断サービスの存在を調査した．これまで専用線による保守サービスの中心であったISDNのサービス終了によりLTE接続が増加していることを聞いた．

　これらの情報を得て，2022年度の厚生労働省調査事業による中小病院の調査ではこれらの接続に焦点を当てながら，中小病院の外部接続を含めたネットワーク全体図の作成とそれらの機器のハード，ソフトのバージョンを含めた資産台帳作成を行った．実際に携帯電話機器類似の機器がUSB接続でネットワーク機器，検査機器に直接接続されている状況や1病院で外部接続が20程度存在する場合もあることがわかった．

　近藤らは，ランサムウェアは仮想通貨により被害者からの直接資金を得られるようになり出現したものであり，URL経由に部品をPC上に集め，ウイルスがPC上で完成するために対策にEDRが必要になった．また，ネットワーク経由で暗号化するため対策にNDRも重要である点を指摘した．

　また，2018年以前のバラマキ型，その後の脆弱性からの侵入型，2022年のようなサプライチェーン経由侵入に分類できるが，後者2つはハッカーが直接操作するために巧妙であり，高額が要求される点を説明した．

　日本放射線学会電子情報委員会にて更新中の遠隔画像診断のガイドラインに反映させるよう活動した．