近年、病院を中心としたサプライチェーンにおける脆弱性をハッカーたちに突かれ、思わぬ入口から病院内のネットワークに侵入されるケースが増加中です。すでに国内外の数々の医療機関において、電子カルテサーバーへのランサムウェア（GrandCrab）感染例が確認されるなどの被害が報告されています。盗難された医療情報は利用価値が高く、被害を受けた病院は社会的な信用の喪失に加え、甚大な金銭的インパクトを被る可能性も高いです。

ではどうやって対策を講じたらよいのでしょうか。

結論からいうと、ゼロトラストの考え方に基づいたSASEのセキュリティ部分を担うSSEを活用することで、サプライチェーン経由での大きな被害を防げる可能性があります。
そこでこの記事では、病院のサプライチェーンにおけるセキュリティ対策の課題やクラウドセキュリティが効果的な理由について解説します。

 

　目次

1. 　なぜ病院が狙われる？病院サプライチェーンのセキュリティ対策における主な課題
2. 　病院向けサプライチェーンを守るためのセキュリティ対策
3. 　病院サプライチェーンを強固に守るために必要なソリューション
4. 　病院のセキュリティ対策のまとめ

なぜ病院が狙われる？
病院サプライチェーンのセキュリティ対策における主な課題

はじめに、病院サプライチェーンのセキュリティ面における主な３つの課題を解説します。

課題1：セキュリティ対策がベンダー(*1)任せになっている

病院を中心としたサプライチェーンは、さまざまな業務を担う外部の事業者(*2)で構成されています。これらの事業者は、業務をスムーズに進めるために病院内のネットワークに接続できる状態です。仮に、病院内のセキュリティ対策が十分に行われていたとしても、病院に接続可能な事業者のアクセス管理が適切に行われていなければ、サプライチェーンを構成する事業者経由でのサイバー攻撃を受けてしまうリスクがあります。

そのため病院はまず、セキュリティ対策がベンダー任せになっている事実を受け止める必要があります。そして、「何に対しても信頼を与えない」という「ゼロトラスト」の価値観を前提に、病院内のネットワークに外部からアクセス可能な事業者がどのようなセキュリティ対策を行っているか確認し、サプライチェーン全体のアクセス管理を行うことが重要です。

(*1)ベンダー：病院にシステムを導入したベンダー、サプライヤー、メンテナンス会社、メンテナンスベンダー、業者など
(*2)外部の事業者：関係医療機関、薬局、院内食堂事業者など

 

課題2：システム/ネットワークの脆弱性を放置または対応遅滞

導入したシステムを構成するシステムやネットワーク機器等の脆弱性を放置したり、アップデートの対応が遅延するようなことがあると、残っている脆弱性を悪用したサイバー攻撃が行われるリスクがあります。

実際に、2022年には病院の運営に必要な業務を担っている外部の事業者を経由して、大規模なサプライチェーン攻撃が行われました。セキュリティ対策として用いられていたVPNに脆弱性が発見され、早急なアップデートが求められていたにも関わらず、事業者は脆弱性が残った状態で利用し続けていたことが主な原因と報道されました。

サプライチェーン全体のセキュリティを確保するためには、ネットワークにアクセスが可能なサプライチェーンを構成する企業に対して脆弱性の放置や対応遅延がないように注意喚起を行う必要があります。

 

課題3：ネットワークへアクセスする認証方式が脆弱

病院内ネットワークへアクセスする際の認証方式が総当たり攻撃に対して脆弱な場合、サプライチェーンを悪用したサイバー攻撃に繋がってしまうことがあります。この総当たり攻撃はブルートフォースアタックともよばれ、暗号の解読やパスワードの割り出しなどに用いられる手法です。想定されるすべての組み合わせを試すことで、設定されているパスワードを明らかにします。

ネットワークへアクセスする際の認証がパスワードのみで行われている場合には、総当たり攻撃によってパスワードが特定され、認証を不正に通過されネットワーク内で自由に攻撃されてしまうリスクがあります。

 

病院向けサプライチェーンを守るためのセキュリティ対策

サプライチェーン全体で脆弱性の排除やアクセス管理を適切に行うためには、病院への接続をクラウドセキュリティに移行するという解決策が有効です。

 

サプライチェーン全体のアクセス管理をSSE（Secure Service Edge） でまとめて管理

SSEとは、クラウド型で提供するネットワークセキュリティサービスです。院内システムを管理するベンダーや、食堂等院内でサービスを提供する事業者が利用するシステムに対するアクセスポリシーをクラウド型のネットワークセキュリティ「SSE」で制御します。
SSEは上記図のように、現行環境を大きく変更することなく提供が可能な為、比較的早く、簡単にセキュリティのレベルを向上させることができます。

SSEを導入することで外部からの接続方法が統一されるため、セキュリティを検討しなければならない箇所をひとつに限定できます。複数要素での認証やゲートウェイの確立もセキュリティを考える上で重要な項目ですが、まずはSSEの導入が効果的だといえます。

SSEと同等のセキュリティを構築しようとすると、サプライチェーンを構成する事業者ごとに複数の対策を導入する必要があり、コスト増や利便性の低下が課題となります。一方で、SSEではネットワークセキュリティが一元化されていることから、これらの課題を引き起こさずに高いセキュリティを実現できます。

 

脆弱性の放置や対応遅延を自動アップデートで解決

サイバー攻撃は強固なセキュリティを破るために、日々進化し続けています。適切なセキュリティ対策も時がたてばレガシーなセキュリティ対策になります。

システムは常に新たなセキュリティ対策を講じた環境で維持管理することが重要ですが、システム管理をする現場では、
業務の繁忙やセキュリティに関する知識不足から適切にアップデートが行われず、脆弱性が残り続けてしまう場合が
あります。

SSEはクラウド型のネットワークセキュリティサービスにつき、提供するメーカー（当社の場合Cisco Systems合同会社）による管理、運用が行われている為、常に最新・最適なセキュリティ対策が打たれたサービスです。これにより、上述の様なリスクが大きく低減され、管理の負担軽減も両立できます。

 

クラウド認証で攻撃に対して安全な認証方式を確立

認証面で言うと、まずはパスワードを複雑化するのが最初の打ち手と考えます。さらなる対策を講じる場合は、クラウド認証を導入することで、パスワードのみでの認証よりセキュリティ性の高い認証を実現できます。この認証方法では、ユーザーの属性や使用するアプリケーションごとにさまざまな設定が可能で、生体認証やSMS、Push通知など、ユーザーの意向に応じてさまざまな認証方式を柔軟に使い分けられます。

もしクラウド認証を用いずに同様のセキュリティを構築しようとすると、事業者ごとにさまざまな準備が必要となります。しかし、クラウド認証を用いれば各事業者が難しい設定をしなくても、マルウェアなどの不正コンテンツ防止やセキュリティレベルの統一が可能です。

 

病院サプライチェーンを強固に守るために必要なソリューション

病院のサプライチェーンに前述のようなセキュリティ対策を講じるなら、以下のようなソリューションが必要となります。まずはSSEである「Cisco Secure Connect」の導入から検討し、その後に「Cisco Duo」や「Cisco Meraki ゲートウェイ（MX or Z4）」の追加を検討するのがおすすめです。

 

Cisco Secure Connect

Cisco Secure Connectは、クライアントベースアクセスとクライアントレスアクセスを用途に応じて使い分けることで、あらゆるユーザーからのアクセスを安全に行えるネットワークを構築します。それぞれの概要は以下の通りです。

• クライアントベースアクセス：端末に専用のソフトウェアをインストールすることで、クラウド提供のファイアウォールを経由するアクセス方法
• クライアントレスアクセス：端末にソフトウェアのインストールができない場合（外部の事業者を想定）にWebブラウザを活用したアクセス方法

Cisco Duo

Cisco Duoでは、ネットワークへのアクセスを行う際に複数の要素を用いた信頼性の高い認証を、ネットワーク管理者やアクセスするユーザーの負担を増やさずに導入することが可能です。

また、さまざまなアプリケーションへのアクセスに対応しており、アクセス権のレベルを柔軟に設定できることから、社内外の使い分けや社内での用途に応じた権限設定を行えます。

Cisco Meraki ゲートウェイ（MX or Z4 ）

Cisco Merakiゲートウェイは、クラウドで管理することを念頭に設計されたセキュリティソリューションで、複雑で高価なサーバーの導入が不要です。頻繁に変化するIPv6にも自動的に対応し、管理者の人為的なミスを最小限に抑えられる直感的なダッシュボードを搭載しています。

 

病院のセキュリティ対策のまとめ

利用価値の高い医療情報を扱う病院では、情報の流出を避けるために病院内のセキュリティだけでなく、病院を中心としたサプライチェーンのセキュリティ確保が必要です。一方で、セキュリティ確保のために複雑なルールを設定しても、サプライチェーンを構成する外部の事業者の中には十分に対応できない事業者もあるでしょう。

クラウドセキュリティであれば、外部の事業者側の負担を最小限に抑えつつ、サプライチェーン全体のセキュリティを高い水準で統一できます。サプライチェーンのセキュリティに不安を抱えている場合には、ぜひ一度ご相談ください。

 

2024/11/21(木)～24(日)に福岡市で開催される第44回 医療情報学連合大会↓↓↓に出展いたします。
ご来場の際は、シスコシステムズ合同会社のブース内へ是非お立ち寄りください。