プロジェクト実践事例にみるセキュリティ強化のための実行ステップ

• 現状調査 - 医療情報ネットワークに接続する機器をリストアップする
• 企画 - 医療情報セキュリティポリシーを策定する
• 調達 - インフラベンダー選定を行う
• 導入 - セキュリティ強化対策を実行する
• メンテナンス - 日々のネットワークセキュリティリスクに対応する

医療機関におけるネットワークセキュリティ強化は、診療継続性を担保する観点から必須の対応事項である。スマートデバイスや医療機器、電子カルテシステムや各種部門システムとの通信が当たり前となった現代の医療現場においては、外部から遮断されたネットワークで運用しているからといって、外部からの攻撃の脅威と無縁ではいられない。また、セキュリティ対策とは特定のソフトウェアや機器の導入により完結するものではなく、セキュリティポリシーの見直しや定期的なリスク診断・年々追加される医療機器のネットワーク接続への対応など、継続的な取組みとして実行する必要がある。

ここでは、筆者がこれまで実践した医療機関におけるセキュリティ関連事例に基づき、「現状調査・企画・調達・導入・メンテナンス」の5つのステップに分けて、セキュリティ強化の具体的対策について述べる。なお、ここでの事例は汎用的な内容として記載しており、実際の事例とは一部異なる点があることをご承知おきいただきたい。

医療機関における情報セキュリティ強化の第一歩は、医療情報ネットワークに接続する機器を可能な限り全網羅的にリストアップし、ネットワーク利用状況の現状を明らかにすることから始まる。その対象となる機器は、アプリケーションが稼働するパソコン以外に、医療機器（放射線撮影装置、検査分析器等）・ネットワークハブ・プリンター・スマートデバイスなど、医療情報ネットワークに接続する全てのネットワークデバイスである。

度重なる医療機器の追加購入、無線LAN導入によるネットワークへの容易な接続、部門用に構築された個別LAN配下での膨大な機器接続等により、医療機関内には総じて一定数の未確認接続機器が存在するものとみられる。しかし実際問題として、機器のリストアップが完璧にできている医療機関は非常に稀であるというのが筆者の感想である。

ネットワーク利用状況の調査の結果、「本来の予定とは違う場所で機器が使われていた」、「使用されていないはずのIPアドレスが使用されていた」、「医療機器の台帳記載漏れがあった」、「配置されたはずのPCが不要と判断され、部署内で撤去されていた」などの問題が見つかることも多い。リストアップには相応の労力を要するため、調査期間と労力をあらかじめスケジュール及び予算に組み込んでおくことが重要である。

システム利用状況を正確に把握した上で、セキュリティ管理を行っていく上での基本的な考え方（ポリシー）を明文化する。 ポリシーの粒度は医療機関ごとに異なると考えられるが、一般的に求められるポリシー設定事項は以下の項目となる。

1. 医療情報ネットワークへの接続ルール・フロー（接続希望者による申請・承認、台帳への機器登録、IPアドレス付与、配置場所決定、端末設定等）
2. 病院内LANの分割方法・ファイヤーウォール運用・疎通ルール設定
3. 未確認通信機器への対処方法（発見後、申請がない場合は遮断する等）
4. ウイルス対策方法（パターンファイルのアップデート、USBデバイスへの対応等）
5. 最新OSへのアップデート・緊急パッチ適用等への対応
6. インターネット利用手段
7. 外部へのファイル持ち出し・持ち込みルール
8. 既存機器のセキュリティ強化対応方針

これらの項目について、自院にとって重要と考えるリスク事項を挙げて重点的に対応しその他の事項についても必要最低限の運用管理により段階的に強化するといった対応方針を策定する。なお、セキュリティ強化対策はシステム利用側の手間が増えるとともに、システム管理部門の管理負荷が高まる側面もあるため、安全性向上と実運用上での効率性とのバランスをどのように取るか、じっくり検討されたい。

また、この種のセキュリティポリシー策定はシステム調達に先駆けて行う必要があり、調達時の提案依頼書（RFP）としてシステムベンダー各社に伝達することが望ましい。後述するが、セキュリティ強化対策作業とシステム導入作業は、しばしばコンフリクトが発生する場合もある。システム導入の前提としてセキュリティポリシーを明確にしておくことが、プロジェクトの円滑な運営に寄与する。

ポリシー策定を完了させることで、ようやく病院情報セキュリティを担うインフラベンダーを選定するフェーズを迎えることとなる。セキュリティ強化対策では、ネットワーク機器全般、ウイルス対策システム、端末管理システム、モバイルデバイス管理システム、遠隔監視対策等、多岐にわたる機器類やシステムとの組み合わせでの導入が必要となり、対策度合いに応じてかかるコストも変動する。そのため、複数のベンダーから最新のセキュリティ事情やソリューション製品群の紹介などを含めた提案を受けた上で比較検討し、適正な金額規模に収まるよう優先順位を付けて調達することが求められる。

また、対策に必要な費用として、新規導入の機器だけでなく既存の接続機器も対象となる点に注意されたい。既存機器が新たなポリシーのセキュリティポリシーに対応できるか、対応に際しての費用はどのように負担するのかといった揉め事がしばしば現場で発生するため、調達計画の中で明確に示す必要があるだろう。

筆者は、インフラベンダーの選定は設計・導入・運用の各フェーズにおける「プロジェクトマネジメント力」が決め手になると考えている。インフラベンダーには、医療機関側の情報システム担当者・部門担当者とのコミュニケーションを図り、システムベンダーや医療機器ベンダー等とともにプロジェクト課題を解決していく姿勢と体制が求められる。「我々はインフラのみを提供する会社なので、ソフトウェアや運用の課題には関与しない」といった応対では問題解決が遅れ、プロジェクト全体の停滞を招いてしまうのは自明である。

一方で、インフラベンダーが過度に大きな変化を嫌い、現場の運用やソフトウェアの挙動に影響を与えないようセキュリティ設定を緩和するだけといった対応では、セキュリティポリシーの維持は難しい。インフラベンダーには、自身のプロフェッショナリズムを発揮しつつ、ステークホルダーとの協調関係、共同での問題解決に当たるプロジェクトマネジメント力を発揮することが求められる。

通常、半年から1年程度の期間をかけ、詳細計画策定、WG（ワーキンググループ）等での詳細協議、実設定作業（プロトタイプでの検証から実際の機器での動作確認）、本稼働準備（テスト、院内説明、段階導入）、本格稼働という流れで進められる。

調達計画の中では、詰め切れなかった細部が検討される過程において、利用者に対して新たなセキュリティポリシーの説明が必要となったり、アプリケーションベンダーや医療機器側の対応を検討するなど、院内外とのやり取りが頻繁に発生する。そのため、プロジェクト開始時にキックオフミーティングを開催し、定例会議を通じて関係者との頻繁なすり合わせを行うなど、セキュリティポリシー変更に伴うリスクを最小限にとどめるプロジェクト運営が必要となる。

導入段階に課題が発生した4事例を、以下に紹介する。いずれもインフラベンダーだけでなく医療機関内外の関係者が共同で取り組まなければならない課題であり、導入段階においてはステークホルダーの関与が密に求められるという事例である。

事例1　既設機器が新しいセキュリティポリシーに適合できず、追加対応が必要となった
ウイルス対策ソフトウェアのバージョンアップに伴い、既設機器にインストールされているウイルス対策ソフトウェアではパターンファイルのアップデートが行えないことがわかった。バージョンアップは計画段階からの基本方針でもあったが、実施段階で再確認を行った際にその事実が判明し、追加費用を伴う個別対応が必要となった。

事例2　インフラポリシーとアプリケーション動作設定のコンフリクトが発生
新たなセキュリティポリシーでは、Windowsファイル共有（ドライブ番号を割り当てるファイル共有）を認めず、全てファイルサーバ経由へのアクセスを原則としていたが、端末構築作業の段階で各アプリケーションがドライブ番号を使ったファイル共有を利用することを前提としていたことが判明したため、ポリシーを見直すべきかアプリケーションの設定変更を行うべきかの判断を迫られた。結果として、アプリケーション動作にクリティカルな影響を及ぼすと判断された設定に関しては、一部セキュリティ条件を緩和することで対応した。

事例3　異なるLAN間でのファイヤーウォール設定により、連携テストに想定外の時間を要した
医療情報LANと医療機器LANを区別して対応するというポリシーに基づき、院内LANのファイヤーウォール設定を行い、両LAN間の通信を限定する対応をしたところ、各種撮影機器や診断装置等とのモダリティ連携テストに支障が生じ、想定を超える長時間のテストが必要となった。設計時点でシステムベンダーと医療機器ベンダーに対して通信先のIPアドレス・ポート番号をヒアリングし、ファイヤーウォール設定を行っていたが、実際にはヒアリングとは違うポート番号でもアクセスしていたことが判明したため、テスト中にファイヤーウォールの設定変更も必要となった。

事例4　無線機器が通信規格に対応せず、機器交換かポリシー変更かの選択を迫られた
無線LANのセキュリティ強化の一環として、よりセキュアな通信が行える規格への変更を全面的に行った際、一部部署で使用予定であった携帯端末がその規格で通信できない仕様であることが判明した。部門システムのアプリケーションは当該携帯端末の利用を想定して作り込まれており、機器の変更はアプリケーションの改修を伴い、開発期間の延長を余儀なくされる。このため、当該機器を使用するエリアを限定してセキュリティレベルを緩和するのか、機器交換してアプリケーション開発期間を延長するかを迫られることとなった。
当該ケースでは機器交換を行うこととなったが、状況によってはエリア限定でセキュリティポリシー見直しを行う可能性もあったと考えられる。

ネットワークセキュリティの維持には、メンテナンスフェーズでの継続的な努力の積み重ねが欠かせない。多くの医療機関にとってその継続性が課題であると筆者は考えている。主に必要となる業務は、（1）機器の新規導入や移設に伴う申請・承認フローの実施、（2）機器管理台帳の更新、（3）ウイルスパターンファイルの配信、（4）OSアップデートへの対応、（5）利用者からの要望や問い合わせへの対応（外部との新たなネットワーク疎通要請等）などである。

医療機関においては、各部門の予算に応じて新たな医療機器が年々導入され、「電子カルテシステムや各種部門システムと接続し患者情報連携を行いたい」という要請が、現場から管理側に頻繁に寄せられる。これらの新規導入機器は、ネットワークセキュリティ上の新たなリスクとなる可能性がある。実際、医療機器のリモートメンテナンス目的でインターネットを経由した外部接続を行う場合など、医療機器が医療情報ネットワークと外部ネットワークとの接合点となるケースにおいて、同機器がハッキングを受けて攻撃者を外部から院内LANに招き入れてしまう事象も多数報告されている。

医療機器の導入においては、性能や臨床・経営面での価値、導入コスト等の検討が当然重要ではあるが、自院のネットワークポリシーに適合するよう調達段階で明確にすることも非常に重要である。また、医療機器納入ベンダー側は、医療機関が策定するセキュリティポリシーを理解して対応するのはもちろんのこと、ウイルス対策システムの院内共有、「データダイオード」等の導入により院内外への通信を制限する提案を行うなど、ネットワークセキュリティ向上に積極的に取り組む態勢づくりが、より一層重要となるだろう。

医療情報ネットワークのセキュリティ強化にあたっては、院内外の関係者を巻き込んだプロジェクトマネジメントが重要であり、セキュリティインフラ維持には年々変化する環境に対応するためのリスクマネジメントが必要となる。

過去にウイルス侵入事象への対応を行った経験から述べると、ネットワークセキュリティ事故は診療停止を伴う大きなインパクトを及ぼし、発生当日から収束にかかる職員の人的対応、来院患者への説明やお詫び、メディア報道への対応など、多大な労力と甚大な被害を引き起こす。医療機関における情報共有、ネットワーク活用が活性化しつつある今日だからこそ、セキュリティ対策は日々の実践から取り組むべきと考える。

KPMGコンサルティング株式会社　
マネジャー　沼澤 功太郎

月刊新医療　2019年11月号掲載（一部加筆・修正しています）。この記事の掲載については、月刊新医療の許諾を得ています。無断での複写・転載は禁じます。

※本文中に記載されている会社名・製品名は各社の登録商標または商標です。

月刊新医療について
病院の管理者層からドクター、医療現場スタッフなどの医療従事者のほか、医療機器メーカーをはじめとした企業まで幅広い読者層を持つ医療業界に特化した専門誌で、先進の論文掲載のほか先進医療を展開する医療機関の紹介や高度医療機器およびシステムなどの最新情報を掲載しています。

月刊新医療