SHUCHU PUBLISHING

病院経営者のための会員制情報紙/集中出版株式会社

未来の会

第10回「日本の医療と医薬品等の未来を考える会」開催リポート

第10回「日本の医療と医薬品等の未来を考える会」開催リポート

第10回「日本の医療と医薬品等の未来を考える会」を開催いたしました。
2017年1月25日(水)17:00~18:30、衆議院第一議員会館「国際会議室」にて、「日本の医療と医薬品等の未来を考える会」の第10回勉強会を開催いたしました。詳細は、月刊誌『集中』2017年3月号にて、事後報告記事を掲載いたします。

まず、当会主催者代表の尾尻佳津典より、挨拶させていただきました。
「今日のテーマはサイバー攻撃対策です。サイバーテロの世界では、医療界は最も大きな被害が出る分野と言われています。患者データ、カルテの医療情報など、漏洩が許されない情報を抱えているため、その被害は金額に出来ないとも言われています。以前、大手機械メーカーのセキュリティを導入していた医療機関が、サイバー攻撃を受けたことがあります。年間数千万円のセキュリティ費用を払っていたそうですが、それでも防ぐことができませんでした。その後、巨額の損害賠償が生じたと聞いています。現在の私達の周りには、インターネットに接続したPCが当然のように存在します。危険と隣り合わせと言えるかもしれません。本日は、この分野で世界的に著名な名和利男先生に講師をお願いしました」

今回の講演は、名和利男氏(サイバーディフェンス研究所 専務理事・上級分析官)による『サイバー空間における「攻撃側」の背景及び行動を直視する』と題するものでした。
以下はその要約です。

サイバー攻撃における攻撃者についてお話します。先ず、私たちは攻撃者がどんな人間なのか、それに対し防御側の私たちの実態レベルはどのようなものなのかを知っておくことが重要です。まず理解しておいて頂きたいのは、攻撃側と防御側のレベル差です。攻撃側の能力をエベレストに登頂できるレベルとすると、防御側は幼稚園の砂場の標高13㎝の砂山に登れるレベルです。したがって、攻撃を受けると必ず破られてしまうと考えておく必要があります。

誰がサイバー攻撃を行っているのかというと、現在では国家が中心になっています。
攻撃能力は非常に向上しており、相手国を潰しかねないほどになっています。
また、自ら手を下さないというのも現在の攻撃者の特徴です。国が仕掛ける場合は国の役人や軍のトップが攻撃者です。マフィアが金のためにサイバー攻撃を仕掛けることもあります。
彼らも自ら手を下さず、専門家にやらせるのです。サイバー攻撃対処プロセスの構築は、人間の危険回避のための認知行動が参考になります。目や耳などの感覚器官で気づき、その情報を脳に伝達します。脳は状況認識を行って筋肉繊維に信号を送り、手足を動かして危険を回避します。この危険回避のプロセスを参考にして、サイバー攻撃に対処するプロセスを構築しておくことが勧められます。その上で、サイバー攻撃対処の行動を訓練しておくこともきわめて重要です。

講演後、当会国会議員団代表の原田義昭・衆議院議員と、冨岡勉・衆議院議員にご挨拶いただきました。

原田 「サイバー攻撃に対するセキュリティは、国の安全・安心にとっても重要な問題です。医療界にとっても、非常に大きな影響をもたらすのではないかと思います。データのデジタル化が進んだことで、危険も増しているといえます。重要な個人情報ですから、漏洩するようなことがあれば大変なことになります。現状がいかに進んでいるのかを知り、常にフォローしていく必要があると感じました」

冨岡「サイバーセキュリティが重要ということで、政府も人材育成に取り組んでいます。私は、昨年8月まで文部科学副大臣として、情報処理安全確保支援士という国家資格を作ることに取り組んできました。今年の4月に第一回の試験が行われます。この分野の技術は日進月歩なので、この資格は3年間の時限資格となっています」

続いて講演に関して質疑応答があり、次のような発言がありました。
尾尻 「攻撃側はエベレスト登頂レベル、防御側は砂山レベルだとすると、政府の情報でも、病院の情報でも、盗もうと思えば盗めるということですか」

名和 「そうです。やろうとすれば必ず出来ます。ただ、直ぐ出来るのか、半年後なのか、2年後なのか、という差はあります。そして病院データが盗まれたとしても、攻撃側がミスをしない限り、病院側は盗まれている事には気付くことはありません。」

荏原太(医療法人すこやか高田病院 院長)
「私どもは小さな病院ですが、現在、電子カルテを使っています。情報漏洩のことを考えると、データを一か所に集め、政府の管轄で守った方がいいのではないかと思いますが、どうでしょうか」


名和 
「現在は、そういった方法が最善の策ということで勧められています。たとえば、サイバー攻撃対策に1000万円を使うとして、20台ほどのPCそれぞれに対策すると、1台あたり50万円を切ってしまいます。データを1か所に集めて対策すれば、そこに集中してお金を使うことが出来ます。サイバー攻撃対策のコストには限度があるので、その中で最大の効果を引き出すことを考える必要があります。ただ、すべてのカルテ情報を1か所に集めるべきかどうかについては、それだけでは判断できませんが」

大津信弘(帝京大学本部情報センター 特命課長)
「帝京大学では、システム的に情報漏洩を防ぐのは無理だと判断しています。そこで早期発見、早期対策に主眼を置いています。オンラインでもオフラインでも守り切れない現在、どういうところに注意すべきなのでしょうか?」

名和 「2016年3月から急激に多くなっているのは、コンピュータウイルスやマルウェアを使わない攻撃です。ただ、2017年1月からは、また、がらりと攻撃の仕方が変わって来ました。このようにサイバー攻撃はダイナミックに変化しているので、それを知って対策をとる必要があります。いたちごっこですが、それが重要なのです」

大津 「そうなると、継続して専門的なコンサルを受けていないと、対応しきれないですね」

名和 「はい、その通りだと思います。文科省が人材育成に力を入れています。専門的な知識を持つ人材を雇って頂くのがいいのかな、と思います」

弓信幸(厚生労働省 政策統括官付サイバーセキュリティ担当参事・大臣官房参事官)
「政府としましても、医療機関は重要インフラということで、サイバーセキュリティに取り組んでいこうと進めているところです。医療分野において、今後想定される攻撃の特徴などがあれば教えて下さい」

名和 「インターネットを通じて医療機器をコントロールし、あるいはセンサーとして利用し、さらにはそれを連携させるという攻撃が始まっています。先日、ある病院で、患者の命には関わらなかったのですが、医療機器がサイバー攻撃を受けてしまいました。インターネットを活用する医療機器にはリスクがあるかな、と思います」

荏原 「サイバー攻撃を仕掛け、身代金を取るランサムウェア(ランサム「身代金」 ウエア「製品」よってお金を取るための手法)による攻撃は、医療関係では起こり得ないのでしょうか」

名和 「アメリカでは既に起きています。しかし、日本の医療機関では、経理を行っている人のネットワークと、医療現場のネットワークは完全に分離されていますから、そこに入り込むことは考えにくいと言えます。ただ、大病院では少しつながっている部分があるので、遠くない将来に被害を受ける事は十分に考えられます」

尾尻 「ランサムウェアでは、当事者同士で密かにお金を支払って解決してしまうのですか」

名和 「そういうこともあります。アメリカの大学が攻撃され、数百万円の身代金を支払い解決した例があります。このようなランサムウェアは、マフィアが行うビジネスのモデルになっていて、金を取るのが目的なので、金さえ払ってくれれば直ぐに解除するのです。ただ、そのような解決の仕方が勧められているわけではありません」

PDF記事を見る

LEAVE A REPLY

*
*
* (公開されません)

COMMENT ON FACEBOOK

Return Top