【ネットワーク・情報セキュリティーコンサルタント　小椋正道】

　皆さま、初めまして。ネットワーク・情報セキュリティーコンサルタントの小椋正道です。
　私はこれまで技術者として、国立大学や公立病院などで全学・院内の情報基盤の管理・運用、電子カルテの導入に携わってきました。

■「医療機関の常識」は「情報基盤屋の非常識」!?

　 病院の中で働いていると、「『医療機関の常識』は『情報基盤屋の非常識』」と言わざるを得ないような場面に実に多く出くわします。ウイルス感染事例の多さ、職員同士の情報連携のつたなさ、異なるベンダーごとに設置されたリモートメンテナンス用回線の数々－。
　これらに共通する問題点は、「ネットワーク設計が場当たり的で、一貫性がないこと」に尽きます。

　今後、地域医療連携がますます重要性を増し、院外との接点が多く発生します。多職種・多施設の情報共有にはITシステムが一層活用されるでしょう。さらに、IoT（Internet of Things：モノのインターネット）の普及で、医療機器同士の通信やクラウド経由のヘルスデータ活用なども想定されます。

　さまざまなネットワークがつながっていく中、セキュリティーレベルは最も低い個所に引きずられます。サイバー攻撃は、対策の甘い組織・個人を容赦なく狙ってきます。被害者になるだけでなく、下手をすると、加害者になってしまう恐れもあります。「ITはよく分からないから」と逃げるのではなく、今こそ医療機関のIT化に向き合い、何をすべきか、この連載を通じて解説していきます。

■「ハッキングコンテスト」で明らかになった医療系ソフトの穴

　 さて、既に電子カルテを導入されている病院の皆さまにお尋ねします。
　「電子カルテは閉じたネットワーク上にあるから安全！」…でしょうか？　医療関係者の中には、院内ネットワークの安全性を信じて疑わない人も少なくありませんが、それは根拠のない”都市伝説”のようなものです。

　確かに、「すべての業務が電子カルテネットワーク内で完結していて、ファイルの出し入れもせず、OSにもソフトウエアにも一切の脆弱性が存在しない」というのであれば、それも間違いではありません。しかし、実際は学会発表などのためにUSBメモリーでデータを出し入れしたりしているのではないでしょうか。このUSBメモリーがウイルスに感染していたら、電子カルテネットワーク内の端末やサーバー全体に感染してしまいます。

　ソフトウエア面でも問題は存在します。
　先日、「医療セキュリティハッキングコンテスト」という大会が神戸市で開催されました。これは、現場で実際に使われている医療系ソフトウエアを解析して、セキュリティー上の脆弱性を探す「バグ・ハンティング」の技能を競おうというイベントです。

　初めて開催されたコンテストでしたが、参加者たちによっていとも簡単に次々と脆弱性が発見され、現在の医療系ソフトがいかに攻撃に弱いかが白日の下にさらされる結果となりました。機微性の高い情報を扱っているにもかかわらず、医療機関のネットワークが実はかなり危険な環境であることを意識する必要があります。


次回配信は8月19日5：00を予定しています

（残り2154字 / 全3458字）