先月に引き続きサイバーセキュリティ対策について更に検討してみたい。
外部との接続は今や運用上完全になくすことはできない状況となっている。この中で一般的に導入されているのがVPN(Virtual Private Network)であり、運用も含めて確実な対策を講じれば高いレベルで攻撃を防ぐことはできるが、この運用におけるハードルが高い(実質守れない部分もある)のも現実である。
今回は、運用も含めた課題について掘り下げてみたい。
VPNとはインターネット上で仮想的にプライベートな通信網を構築する技術であり、データの暗号化などを利用し第三者の脅威から守る手段である。
VPNは大きく分けて以下の2つに分類される。
VPNを利用することにより安全に通信を行うことはできるものの、脆弱性をうまくコントロールしないと様々な攻撃を防ぐことはできない。具体的にはセキュリティパッチをタイムリーに適用したり、多要素認証を取り入れたりすることがあげられる。
では、脆弱性とはどのようなことに起因するのか? また、その対策についても細かく見ていきたい。
| 課題(リスク)等 | 対応策 |
|---|---|
| ネットワーク機器における装置やプログラムは日々脆弱性が発見されており、古い機種であれば更にリスクは大きくなる。 | 機器ベンダと連携し、タイムリーに修正措置を行う。 |
| パスワードは端末だけでなく、ネットワーク監視やルータなど様々なところに設定されているが、簡単なパスワードを設定することにより突破される。 | 多要素認証が望ましい。(多要素認証にも盲点はあるが)難しい場合はパスワードの使い回しの回避や複雑性を考慮する。 |
| 証明書を持いた場合、その偽造(漏洩や安易な運用を含む)。 | 証明書の管理を厳重に行う。特に、払い出し時の運用管理を徹底する。 |
| ウイルスなどに感染した端末の繋ぎ込み。 | 外部から接続する端末の運用規定を整備する。特にBYOD(個人端末の業務での利用)については、利用の可否も含めて十分に検討する。 |
前段でセキュリティパッチの話をしたが、ネットワーク機器やサーバのパッチはベンダ主体でもかまわないとはいえ、HISにおける端末(OS)のセキュリティパッチは大きな課題を抱えている。
皆様の病院では、Windows OSに対するセキュリティパッチ(Windows Update)を適用されているだろうか? 恐らくほとんどの病院で実施していないのではないかと思う。
最近ではWSAS(Windows Server Update Services)のようなツールも登場しWindows Updateを全端末に適用する仕組みはできてきた。しかし、HIS端末には電子カルテだけでなくあらゆる部門システムも相乗りしており、複数ベンダのシステムが共存している。このような環境においてWindows Updateを適用してすべてのシステムが問題なく稼働するかの担保ができないのが現状であると考える。
先月号で紹介した厚生労働省のガイドラインでもこれらのセキュリティパッチは要求されているが、抜本的解決策は見いだせていない。強いてあげれば障害リスクを最小限にするため、数台の端末のみパッチを適用ししばらく様子を見て、問題なさそうであれば全体に適用するという手順ぐらいしかないのではなかろうか?
これはほとんどの病院で導入されているソフトである。ここで話す必要もないのではないかとは思うが、このソフトは世の中で発見されたウイルスなどのマルウェアに対しパターンファイルを更新することにより、発見し駆除するソフトである。
このソフトの課題は世の中でマルウェアが発見されたのち、パターンファイルが更新されるのが数カ月後であるため、その間は脅威にさらされているということである(実態としてパターンファイル更新前の攻撃の方が多く9割以上がそのケースだというデータもある)。
また、パターンファイルの更新を含めて利用期限があり、Windows OSの更新を行わず稼働し、当初のまま使い続けると5~6年で利用できなくなるケースもあるようだ。昨今では7年程度のスパンでHISを更新する病院も多くなり、この課題に直面された方もおられるのではないだろうか。
これらの課題を認識した上で利用することと、利用期限については導入時から考慮することをお勧めしたい。
アンチウイルスもゼロトラスト型のエンドポイントセキュリティ対策の一つではあるが、前述のような課題を抱えている。そこで出てきたのがEDR(Endpoint Detection and Response)である。
EDRは端末内で脅威の予兆を検知するとアラートを発し、脅威の侵入にいち早く対処するためのセキュリティソリューションである。
しかし、これも監視体制や検出時の対応など、24時間365日の対応と高度なスキルを必要とすることから、1病院規模での運用において体制面でかなり無理があると思われる。また、運用も含めてEDRをサービスとして提供するベンダもあるがコスト的な課題も大きい。
今回はサイバーセキュリティ対策における具体的な製品群やその運用での課題について確認を行った。しかし、ここで触れた内容はほんの一部であり、検討を進めるにあたっては更に多岐に亘った範囲を網羅する必要がある。それぞれの課題において解決策にまで至っていないものもあるが、できる限りガイドラインに沿ってシステム導入や運用設計を遂行していただきたい。
対策の検討は一度決めたら終わりではなく、日々変化していく状況に合わせて日常的に見直しを行いながら進めていく必要がある。これは病院側だけで進めるには難しい部分もあるため、各システムベンダやセキュリティベンダも巻き込んだ体制で臨むべきである。双方で十分に連携をとりながら効率的に推進していただきたい。
