倉敷中央病院様 様の導入事例
医療機関への不正アクセス事件増加を背景に先手を打ったネットワーク脆弱性診断とは
倉敷中央病院様 様
倉敷中央病院は、1923年(大正12年)6月2日、倉敷紡績株式会社社長、大原孫三郎によって創設されました。
大原はクリスチャン・石井十次(岡山孤児院の設立者)の影響で、独自の人道主義(後に人格主義と改める)を育み、社会から得た富は社会に還元するという考えのもとに、労働環境の整備をはじめ、大原農業研究所、大原社会問題研究所、倉敷労働科学研究所、大原美術館等を設立しました。当院の創設も、そうした彼の理想の現れの一つであり、開設当初より倉敷紡績従業員はもとより、広く地域住民の診療も行いました。
現在では病床数1,161床・職員数約3,000人を擁し、救命救急センター、総合周産期母子医療センター、地域がん診療連携拠点病院、地域医療支援病院、岡山県災害拠点病院などの施設認定を受ける、高度医療を担う地域の急性期基幹病院となっています。
目次
手動オペレーションでは、複数の脆弱性を組合わせた攻撃など、診断ツールと比較して、実際のハッカーの攻撃手法に近い視点による高度な診断を実施します。 実際のハッカーと同じ視点でブラックボックス方式のテストを実施し、充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について最大限に配慮した診断を実施します。
専門コンサルタントによる手動オペレーション診断で高度な診断を実施します。 (プラットフォーム診断と比較すると、手動オペレーションと商用診断ツールの精度/網羅性に大きく乖離があることから、手動オペレーションを基本としています。)※ただしお客様のご希望や、内容・状況により、診断ツールを併用した診断についても対応可能です。発生について最大限に配慮した診断を実施します。
常務理事・事務長
富田 秀男氏
情報システム部 副部長
藤川 敏行氏
情報システム部 情報システム課 係長
前田 貴之氏
情報セキュリティ研究所 所長
小田部 昭
検査を実施するまでは漠然とした不安があり、いつ何が起こるか分からないという危機感を抱いていました。しかし、検査により判明した脆弱性から想定される攻撃や被害を詳細に解説して頂き、また対策についての方法も具体的にご提供頂けたので、現状で判明している脆弱性は対応できたと考えています。
この度ネットワーク脆弱性診断を実施した倉敷中央病院様が、当社グループのサービスをどのように活用したのかを常務理事及び情報システム部の御二方に、コンサルティングを担当したBBS情報セキュリティ研究所 小田部からインタビューをさせて頂きました。
■脆弱性診断の実施背景
小田部
まず、診断のきっかけや背景をお聞かせください。
富田様
昨今、医療機関への不正アクセス事件が増加傾向にあり、当院もその対策に着手したところです。
以前はサイバー攻撃の多くは金融機関や製造業、行政機関が対象でしたが、これらの業種では対策がかなり進んできていることもあり、これからは「明らかに医療機関もサイバー攻撃のターゲットになっている」という時代に差し掛かっていると感じています。
小田部
院内にどのような課題がございましたか?
前田様
当院に設置してある不正侵入検知システムが過去に検知したアクセスのうち、外部からのネットワーク攻撃と思われる不正アクセスを確認していました。幸いにして既存のセキュリティシステムにより防御出来ていましたが、万一突破されていれば深刻な影響を及ぼす可能性がある攻撃が複数回発生していたことを確認しています。
小田部
外部ネットワークを活用した医療連携やマイナンバーに対応した医療情報共有の取り組み等、今後ますます病院を取り巻くネットワークサービスの重要性は増していきます。そのような中、病院としてどのような解決策を検討されましたか?
藤川様
当院には外部との接続があるサーバや地域の医療機関との連携を行うサービスが稼動していることから、今現在どのような危険性があるのか速やかに調査しなければならないという思いがありました。これらは院内のIT情報セキュリティ委員会の事務局でもある情報システム課が主導して対応を検討しました。
前田様
また、インフラ産業へのサイバー攻撃事例にもあるように、インターネットに接続されていない制御機器においても、思いもよらない方法で情報漏えいやシステムダウンを引き起こされる可能性があり、病院内の医療機器も例外ではありません。そのため、ネットワーク脆弱性診断を実施することで、現在の病院情報ネットワークとシステムの弱点(脆弱性)を見極め、病院のシステム全体で実現可能な安全対策を検討することが重要であると考え、今回、長年お世話になっておりますBBS情報セキュリティ研究所の小田部様よりGSX社をご紹介頂き、診断を実施することにしました。
■サービスの実施内容について
小田部
ネットワーク脆弱性診断サービスは、まず「①ネットワーク脆弱性診断」を実施し、次にこの検査結果をもとに、サーバやネットワーク機器の運用ベンダー様への「②運用管理状況調査(ヒアリング)」を行いました。これをもとに、評価結果報告書を作成し病院トップへの「③報告会」を実施しました。これらの診断プロセスを受けられていかがでしたか?
前田様
「①ネットワーク脆弱性診断」では、発見された脆弱性の説明と、現時点での対策措置を解説した検査結果報告書を作成頂いたのですが、これをもとに各システムの保守ベンダーを病院に集め、「②運用管理状況調査」を実施しました。これにより、なぜその脆弱性が潜在することになったかの原因・発生要因が確認でき、病院として脆弱性に対して迅速な対応を取ることができたと思います。
藤川様
「③報告会」では、病院トップ向けに発見された脆弱性を事例をもとに分かり易く説明して頂き、今後の脆弱性発生を未然に防ぐための管理運用面での対策提言も行って頂きました。更に脆弱性診断結果の評点化により、当院のセキュリティの実施水準の現在位置と目指すべきセキュリティレベル目標を客観的に把握することができました。
これらの当院トップへの直接提言は非常に有効なプロセスでした。トップの理解が進まないと、なかなか病院でのセキュリティ推進は難しいと捉えています。
■サービスの効果・効用について
小田部
今回、ネットワーク脆弱性診断サービスを受けられて、実際の効果・効用についてお聞かせください。
藤川様
検査を実施するまでは漠然とした不安があり、いつ何が起こるか分からないという危機感を抱いていました。しかし、検査により判明した脆弱性から想定される攻撃や被害を詳細に解説して頂き、また対策についての方法も具体的にご提供頂けたので、現状で判明している脆弱性は対応できたと考えています。
前田様
改善提言では、「セキュリティ管理の見直し整備」「定期的な脆弱性検査の実施」「システム的な対策の導入検討」と、優先度を考慮しながらも将来を見据えた具体的な提言を頂きました。今後は提言を受けて段階的にセキュリティレベルの向上・維持に取り組んで行きたいと思います。
■今後の展望について
小田部
今後、当社(BBS/GSX)に望むこととは?
富田様
近年、毎日のように情報セキュリティ事件・事故が起きており、ユーザーサイドだけでの情報収集や対策立案には限界があると感じています。また、医療情報の世界で常識であることが、他業種ではそうでは無いことも数多くあるので、これからも御社には医療情報の実態を踏まえた、第三者としての目線での助言を頂きたいと思います。
藤川様
今後は、脆弱性診断のみならず、段階的に体系的な情報セキュリティの強化・整備を実現していきたいと思います。例えば、職員の教育、ドキュメント整備などの情報セキュリティを管理するための仕組みの構築です。今回の脆弱性診断は、今後これらの対策を実施する非常に良いきっかけとなりました。
病院名
公益財団法人 大原記念倉敷中央医療機構 倉敷中央病院
所在地
岡山県倉敷市美和1丁目1番1号
創設
1923年(大正12年)6月2日
理事長
大原 謙一郎
病床数
1,161床(一般1,151床、第2種感染症10床)
手動オペレーションでは、複数の脆弱性を組合わせた攻撃など、診断ツールと比較して、実際のハッカーの攻撃手法に近い視点による高度な診断を実施します。 実際のハッカーと同じ視点でブラックボックス方式のテストを実施し、充分なインターバルをとった作業、目視での異常検知と負荷調整などにより、診断時の障害発生について最大限に配慮した診断を実施します。
専門コンサルタントによる手動オペレーション診断で高度な診断を実施します。 (プラットフォーム診断と比較すると、手動オペレーションと商用診断ツールの精度/網羅性に大きく乖離があることから、手動オペレーションを基本としています。)※ただしお客様のご希望や、内容・状況により、診断ツールを併用した診断についても対応可能です。発生について最大限に配慮した診断を実施します。
本記事のシェアはこちらから
