特集
12病院が同じ脆弱性でサイバー攻撃被害、厚労省の注意喚起が届かないこれだけの理由:「3ない状態」「ベンダー丸投げ」が不幸な事故に
社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。
サイバーセキュリティの世界では競合する企業や組織の壁を越えた「共助」の取り組みが進んでいる。その中核になっているのが「ISAC」(Information Sharing and Analysis Center)と呼ばれる団体で、情報通信や金融、自動車など複数の業界で結成されてきた。
医療ISACもそうした組織の一つだ。前身となるメディカルITセキュリティフォーラムとして2014年から活動を開始し、医療機関向けのサイバーセキュリティに関するセミナーやワークショップを実施する他、ワーキンググループ活動も展開してきた。また2019年には米Health-ISACと業務提携を結び、グローバルな活動も開始している。
その医療ISACの代表理事で、愛知医科大学 医療情報部長・教授の深津 博氏が、2023年3月に開催されたサイバーセキュリティの専門イベント「Security Days Spring 2023」で「医療機関が行うべきサイバーセキュリティ対策2023」と題して講演した。講演時点ではパブリックコメント募集段階にある厚生労働省の「医療情報システムの安全管理ガイドライン 6.0版」のポイントと、関連する経済産業省、総務省のガイドラインとの関係性、そしてベンダーとの関係を中心に医療機関が進めるべき対策の在り方を整理しながら解説した。
関連記事
- 2022年NIST公開の脆弱性が2万件以上――対策“できない”時代に“できること”をセキュリティリサーチャーズと考える
2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド&ゼロトラスト」ゾーンにおいて、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「可と不可の間 〜今そこにある契機〜」と題してパネルディスカッションを行った。 - 米国のサイバーセキュリティ戦略、「脆弱性のあるソフトウェアを提供する企業にも法的責任を追わせるべき」と明記
米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。 - 攻撃者が1億円以上の価値を見いだす「医療業界の弱点」 チェック・ポイントが指摘
チェック・ポイントは、2022年第3四半期のサイバー攻撃に関する動向調査の結果を発表した。最もランサムウェア攻撃の標的とされたのは医療業界。サイバー攻撃全体でも3位だった。
Copyright © ITmedia, Inc. All Rights Reserved.