1. コンピュータウイルス感染事案 有識者会議調査報告書

/技術編

https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf

1.1. 総括

今回のインシデントは起きるべくして起きしてしまったインシデントであった。 (修復に時間がかかったことを含め)

一番の被害者は患者のはずだが、まったく触れられていない。

-- ToshinoriMaeno 2022-07-20 01:57:04

このようなインシデントを予測し、準備できていなかった半田病院側の責任がある一方で、 電子カルテシステムを始めとした周辺機器やシステムなどを提供している事業者、そして本 インシデント対応に関わった事業者の不誠実さの連鎖が生じていたのも事実である。

1.2. 2. 本委員会の目的

本委員会の目的は、今後このようなサイバー攻撃を防ぎ、 かつサイバー攻撃に遭ったとしても堅固な情報システムの構築を目指すだけでなく、 全国各地の病院、さらには組織、企業が有する問題点を明らかにし、 サイバー攻撃に耐性のある情報システムの構築、そして組織作りについて一つの指針を与えるものです。

第2条 会議は、令和3年10月31日に発生した事案に対し、その原因分析、被害状況の実態把握、再発 防止策等など病院運営に関する重要事項について審議し、病院事業管理者(以下「管理者」という。)に提 言する。

3 今回の災害級の重大インシデントについて _______________________________________ - 6 -
3.1 事案概要 ___________________________________________________________ - 6 -
3.2 事案対応の姿勢 _______________________________________________________ - 6 -
3.3 事案対応の経緯 _______________________________________________________ - 7 -
3.4 事案調査内容 _______________________________________________________ - 14 -
4 委員会での指摘及び改善事項 _______________________________________________ - 26 -
4.1 組織的な課題 _______________________________________________________ - 26 -
4.2 技術的な課題 _______________________________________________________ - 30 -
4.3 社会的な課題 _______________________________________________________ - 35 -
5 再発防止策の実施と検討状況について _________________________________________ - 37 -
5.1 組織的な課題の対応・対策 ______________________________________________ - 37 -
5.2 技術的な課題の対応・対策 ______________________________________________ - 38 -
5.3 社会的な課題の対応・対策 ______________________________________________ - 38 -
6 まとめ __________

災害級の重大インシデントと言っても、 自然災害のように予測困難な事象ではないことをよく自覚しておく必要がある。

1.3. まとめ

整形 -- ToshinoriMaeno 2022-07-20 00:35:16

6 まとめ

今回のインシデントは起きるべくして起きしてしまったインシデントであった。

病院側のセキュリティに対する意識が低かったというのは事実であるが、 地域医療の拠点である半田病院であっても、事実上、情報システム担当者は 1 名の状態で運用していた。 このような状態でサイバーセキュリティの知識を深めること や設定の見直しなどを行える状況になく、日々の機器やシステム、ネットワーク運用で手一杯の状況であった。

また今回のインシデントは、
このようなインシデントを予測し、準備できていなかった半田病院側の責任がある一方で、
電子カルテシステムを始めとした周辺機器やシステムなどを提供している事業者、そして本
インシデント対応に関わった事業者の不誠実さの連鎖が生じていたのも事実である。

その結果として、通常診療を取り戻すために 2 か月強の時間を要してしまった。 しかしながら、不幸中の幸いにして、インシデント対応は 地震災害を主として作成、運用していた事業継続計画が功を奏し、インシデント対応に円滑に入ることができた。

本教訓からの学びとして、既存の事業継続計画を見直し、 サイバーセキュリティインシデントも含めた上で、 事業継続計画が機能するように半田病院だけでなく、全ての医療機関でも行われるべきである。

また、そもそも電子カルテシステムを導入している時点で、システムの正常動作を優先するあまり、 提供事業者からセキュリティレベルを下げる指示や対応が行われていた。 さらに、運用においても今回の侵入経路となった VPN の脆弱性に関する情報提供が行われていないことや、 Silverlight や ActiveX 前提の電子カルテシステムを提供し、 当該情報のサポート切れやセキュリティ上の懸念が示されていないことは、 提供事業者または運用事業者として責任を果たしていない。

半田病院側の指示や対応に不足があったとしても、事業者は情報の非対称性を理解し、その解消に努めるべきである。

民法改正に伴い改訂された「~情報システム・モデル取引・契約書~(パッケージ、SaaS/ASP 活用、保 守・運用)〈第二版 追補版〉」(独立行政法人情報処理推進機構)においては、「信頼性の高い情報シス テムの確保は、ユーザーとベンダーのたゆまない緊密な協働によってのみ得られるとの立場から、取引全般 においては、ユーザー自身が役割を理解しベンダーとの緊密な協働を行うことを前提」としており、このよ うな緊密な協働がインシデント発生の事前、事中、事後からも確認することができなかった。

さらに、モデル契約は「ベンダーにおいては、情報システムの知識を有しない企業に対して、業として情 報サービスを提供する専門家としての十分な配慮と注意を払う必要と一定の責任があり」と述べており、こ のような十分な配慮と注意についても不足していたと言わざるを得ない。なお、今回は幸いにしてデータが 復元できたものの、フォレンジックを担当した事業者の実施方法や対応内容にも不手際があると共に、上記 のような連携や配慮も不足している。

厚生労働省を始めとした政府機関が公開しているガイドラインも、そもそも複数のガイドラインが存在す ることや、抽象度が高いこと、また ISMS などを前提としているためにハードルが高い内容が示されている など、ガイドラインそのものにも課題があると言える。 また、今回はつるぎ町立の病院で発生したことを鑑みると、 総務省の公立病院経営強化プランなどにも、BCP に必要なリソースを捻出する配慮をすることや、 中小企業や公営企業などの IT 弱者に対するモデル契約や実行しやすく、一人でシステム運用を行うような組 織においてもより対応しやすい、具体的なガイドラインへの変更や作成が求められる。

今回のインシデントを教訓に、既存のシステムやソフトウェアのポリシーや設定変更で対応できるような 技術的な対応も細部にわたってまとめた。 サイバーセキュリティは新しい技術や製品などに注目されがちだが、 まずは今の環境で最大限行えるセキュリティ対策の強化に努めてほしく、他の組織においても設定変更 などの検討が促進されることを願いたい。(なお、当然ながら今回示されている技術的な対策は、半田病院 で実施してもらう予定である。)

今回は偶発的に半田病院で発生し、日本全体に本インシデント情報が広まり、注目を集めたが、日本全体 を見渡した時に、他の医療機関や公的機関、広くはサプライチェーンにおいても同じような状況と言えるで あろう。 利用者側の病院もセキュリティ意識を高め、強化することが欠かせないが、 事業者は重ねて情報の 非対称性が存在し続けていることを理解し、継続的な連携が必要であることを忘れてはならない。

病院は当然ながら医療の専門家であり、医療の知識に長け、医療サービスを提供している。 地域住民はそのサービスの安全性を理解し、信じるからこそ医療サービスを享受していることになる。

その視点で言えば、電子カルテシステムを提供する企業やインフラなどの環境を構築する企業、 またそれらの運用を行っている企業も、それぞれの担当分野においては専門家であり、知識に長け、利用者に安心し て信頼されるサービスを提供する必要がある。

ここ数年間にわたり、サプライチェーンの課題が叫ばれ、国内でも工場や中小企業など、様々な組織でセ キュリティインシデントが発生している。その一方でデジタルトランスフォーメーションが叫ばれ、日本は ようやく情報技術の活用が活性化している。セキュリティ軽視のデジタルトランスフォーメーションが進め ば、日本は近い将来、サイバー攻撃によって日本の産業が大規模に停止する事態が起きる可能性があること を強く認識すべきである。

決して今回のインシデントは対岸の火事ではなく、同様の医療機関、自治体などの公的機関、企業規模関 係なく全ての事業者、そして政府機関も、今回のインシデントから学び、改善していかなければならない。 今後のガイドラインの策定や、連携の強化も、産官学のより一層の連携強化と旗振り役の統一が必要であ り、デジタル庁のようにサイバーセキュリティの旗振りを行う機能が強化されるべきである。

最後になるが、災害級のインシデント発生にもかかわらず、半田病院は患者を最後まで守り切ることができた。 これは、半田病院の医師、看護師、職員、関係者の献身的な努力と、地域や自治体、他の医療機関、 各事業者の支援によって実現できたことであり、これは最大の賛辞が贈られるべきである。 半田病院の患者情報や命を守る事業が終わることはない。これからも一人でも多くの人や組織の支援によ って、地域医療が支えられ、住民の安全や健康につながることを切に願い、括りとする }}}


CategoryDns CategoryWatch CategoryTemplate

MoinQ: Security/実例/つるぎ町立半田病院/有識者会議/報告書 (last edited 2022-11-03 00:55:51 by ToshinoriMaeno)