サイバーセキュリティ連盟は3月24日、医療機関を対象に「サイバー攻撃で医療を止めさせない！医療機関に求められるサイバーセキュリティ対策強化とは？」と題したオンラインセミナーを開いた。医療関係者やベンダーなどが一体となり取り組むべきサイバー攻撃への対策を探った。

　医療機関へのサイバー攻撃が近年相次いでいる。2022年10月、サイバー攻撃で一時的に機能不全に陥った大阪急性期・総合医療センターでは、外部の給食事業者のシステムがウィルスに感染していたことが被害の端緒となった。今や医療機関単独でサイバー攻撃を防ぐのは難しい局面にきている。

　「医療機関で取り組んでいるサイバーセキュリティ対策とは？」をテーマに行われたトークセッションで=写真＝、同連盟に参加するサイバーセキュリティクラウドの西澤将人氏が、実際に起きたサイバー攻撃被害例を紹介。あるメーカーが、自社ではサイバーセキュリティーに対応していたが、関連企業がサイバー攻撃に遭ったために自社のビジネスがストップしたという。同様のケースが大阪急性期・総合医療センターで発生しており、西澤氏は、「サイバーセキュリティーに対するスキル不足」を医療機関の課題として挙げた。



　日本赤十字社前橋赤十字病院事務部情報システム課の市根井栄治氏は、ベンダーとの関係性に注目した。「サイバーセキュリティーで立ち向かう相手は、サイバー攻撃を仕掛けてくる者だ。これまで病院とベンダーは、買い手と売り手とか、ユーザーとメーカーという立ち位置であったが、今後は双方がスクラムを組み、患者情報などを守る必要がある」（市根井氏）と強調した。

　これに対して、明治大学サイバーセキュリティ研究所の齋藤孝道所長は、スクラムの大切さに理解を示しながらも、サイバーセキュリティーへの最終責任者は医療機関であると指摘。リスク管理という側面から、攻撃されるポイントを医療機関で、どう減らすかが重要だとした。「例えば、メールサーバーが2つも３つもあれば、それだけ侵入ポイントも増えてくる。DXを導入し、どう減らすかを考えなければならない」と訴えた。この場合、業務プロセスの見直しが必要だとする齋藤氏だが、一方で業務プロセス変更への医療現場での消極性が、ハードルになるとみている。この業務プロセスを変更せざるを得ないような「縛りの強いガイドラインを出すことが大切だ」と厚生労働省に求めた。

　また、網屋データセキュリティ事業部セキュリティプロダクト部の杉浦和希氏が、「サイバー攻撃手法から考える医療機関の効果的なセキュリティ対策とは？」をテーマに講演。昨今のサイバー攻撃の日米での被害状況を報告しながら、「日本ではサイバー攻撃の半数超がVPN機器からの侵入」と述べた。医療機関も、サイバーセキュリティーへの対応として、インターネットとの分離だけでは安全性は確保できないとし、最新のアンチウィルスソフトの導入やバックアップ体制の整備などの重要性を訴えた。