医療ISAC、セキュリティ対策小規模病院ほど脆弱、開設者別にも有意差か



画像:一般社団法人医療ISACより引用

日本の医療機関によるサイバーセキュリティに関する情報の共有及び分析などを手がける一般社団法人医療ISACは2021年12月20日、医療機関を対象にしたセキュリティ状況等に関するアンケートを実施したと明らかにしました。

医療ISACによれば、今回のアンケートは医療機関のセキュリティ状況などを分析するため実施し、一般社団法人日本病院会に所属する588院から得た回答をまとめたもの。回答した医療機関のうち586院は情報システム専任の担当部門を持つ(402院)か、委員会(74院)または専任(26院)あるいは兼務(82院)の担当者を有しています。

アンケートの内容は、セキュリティに対するガバナンス体制およびシステム面のセキュリティ状況に関するものや、インシデント発生時に対応能力な人材状況などを問う合計22の質問で構成されています。回答側には対応できてる、一部対応、できていないの3つの選択肢が用意されており、医療ISACは回答内容から全体の状況を分析しました。

小規模病院ほどセキュリティ課題浮彫に

医療ISACはアンケート結果から、全体の傾向として日本国内の医療機関は500床以上の規模の大きな病院ほど高いセキュリティ性を持つ一方で、規模の小さな病院は十分なセキュリティ性を有していない点を指摘しています。

ISACは全アンケートに対する肯定的な回答比率(平均39%)として、500病床以上の規模の大きな医療機関が57%を記録する一方で、300床~499床、200~299床、100~199床、20~99床の順で有意に比率が減少していると発表。

さらに組織内の人材のセキュリティ水準を表す「人的セキュリティ(500床以上51%・500未満16%~30%・平均29%)」や運用システムの脆弱性保護などを問う「運用上のセキュリティ管理(500床以上64%・500未満37%~50%・平均49%)」、インシデント発生後の対応フローなどを問う「インシデントレスポンス(500床以上63%・500未満35%~45%・平均50%)」など、ほぼ全項目で小規模医療機関がセキュリティ上の課題を抱えていると明かしています。

開設者によっても差異認められる

医療ISACはまた、各医療機関のセキュリティ対策状況として、「医療機関の開設者」によってもセキュリティ対策状況の差異が見られると発表しています。

アンケート回答者は国営・公益法人・私大病院のほかに医療法人・社会福祉法人、医療生協運営などで構成されていますが、全アンケートに対する肯定的な回答比率を開設者別に分類すると、私大病院(58%)、国営病院(57%)、公益法人(54%)が高い水準を維持する一方、医療生協(13%)、医療法人(30%)、社会福祉法人(32%)などの組織が平均(42%)より低い値を記録したと発表。

さらに個別項目においても、私大病院や国営病院・公益法人などが高いセキュリティ性を記録しており、開設者別にも有意に差がある点が浮彫となっています。

医療機関狙うランサムウェアに危惧

医療ISACは昨今のサイバー攻撃において、医療系機関や医療機関がターゲットになりつつある一方で、特に小規模医療機関側のセキュリティ対策が十分ではないと警鐘を鳴らしています。

医療ISACはサイバー攻撃全体が大規模かつ巧妙化の一途を辿っていると指摘したうえで、特に感染先のデータを暗号化し事実上壊滅状態に陥れるランサムウェアが猛威を振るっていると指摘。

日本の医療機関を巻き込んだランサムウェア感染事例として、2021年10月に発生した徳島県総合病院の感染事例や2021年5月に発生した東大阪市の総合病院における感染事例など実例を挙げながら、医療機関における現状のセキュリティ対策が十分とは言えず、さらなる調査を踏まえたセキュリティ対応の必要性をまとめました。

参照国内病院に対するセキュリティアンケート調査の結果と考察/一般社団法人医療ISAC