自院に適した取り組みでサイバー攻撃に備える / 総務省サイバーセキュリティ統括官室安藤良将

総務省　安藤様に医療機関が知っておくべき医療情報セキュリティについてお話をお伺いしました。
安藤様には、現在公開中の診療所マネジメントEXPOでもご講演いただいています。
※2022年11月1日にCPA EXPOは診療所マネジメントEXPOに名称を変更しました。

診療所マネジメントEXPO講演内容をお聞かせください

講演タイトル『総務省におけるサイバーセキュリティ政策』
総務省が現在行なっているサイバーセキュリティ政策をテーマに、総務省がどんなことに注力しているのかを中心にお話しさせていただきます。
また、現在のサイバー空間を取り巻く状況や、我が国のサイバーセキュリティ政策の推進体制の紹介に加え、サイバーセキュリティを確保する上で参考となる情報もお伝えできればと思います。

診療所マネジメントEXPOログインページへ

総務省におけるサイバーセキュリティ政策の現状をお聞かせください

公共空間化したサイバー空間における安心・安全の確保が大きな使命の一つです
総務省が取りまとめている「ICTサイバーセキュリティ総合対策」では、サイバーセキュリティに関する政策動向や昨今の状況の変化を踏まえ、今後、総務省として注力すべき分野について取りまとめております。

具体的な内容を挙げると、サイバーセキュリティに関する最近の動向をはじめ、なりすましやサイバー攻撃による情報データの流出・改ざん・サービスの停止を防止するために取り組むべき施策や、電気通信事業者による積極的なセキュリティ対策の推進、事業者向けの普及啓発として、テレワーク環境やWi-Fiのセキュリティ確保の普及啓発などがあります。
また、人材育成にも力を入れており、国立研究開発法人情報通信研究機構（NICT）の「ナショナルサイバートレーニングセンター」を通じて、サイバーセキュリティ人材育成の取組（CYDER、SecHack365）を積極的に推進しています。
さらに、昨今はいわゆるIoTと呼ばれる、ネットワークカメラなどインターネットに直結したツールも増加してきていますが、それらが乗っ取られたり悪用されたりしないように、IoT分野やクラウドのセキュリティ確保にも重点的に取り組んでいます。

医療機関において、サイバー攻撃への対策はどのように行うといいでしょうか

巻き込まれる可能性を自覚し、自院に適した取り組みを行う
まずは、地域や診療科目、クリニックの規模などに関わらず、いつどんなサイバー犯罪に巻き込まれてもおかしくなく、自覚してセキュリティ対策に取り組んでいく必要があります。
細かな方法は多岐に渡りますので、具体的な対応をどうしていくかということについては、今回の講演で紹介する内容を参考にしていただき、最適な方法を選択していただければと思います。

今後、サイバーセキュリティに対してどのような意識を持つべきでしょうか

脅威が存在することを一層認識、自覚するべき
昔からサイバーセキュリティの重要性が叫ばれてきましたが、特に昨今は様々なシーンにおいてデジタル化が著しく進展してきていることで、攻撃も複雑化・多様化してきており、ますます警戒するべき状況になってきていると思います。

卑近な例でいうと、新型コロナウィルス感染症の流行により、テレワークが一気に普及したことは皆さんご存知の通りです。
こういったデジタル化は確かに便利ではありますが、その反面、サイバー攻撃という影の部分の脅威も増加してきています。
デジタルな領域のためどうしても目で見えにくく実感しにくい部分ではありますが、インターネットの世界においても、実社会と同じように犯罪の脅威が存在することを、まずは一人ひとりが認識・自覚することが第一歩だと考えています。

不正アクセスやサイバー攻撃など、発生数の推移はいかがですか

2020〜2022年上半期で大幅に増加
まずサイバー犯罪カテゴリの全体的なボリュームとして、増加傾向であることは間違いありません。

個別のジャンルでは、偽のWEBサイトに誘導してクレジットカード情報やアカウント情報などの重要な個人情報を盗む、いわゆるフィッシング詐欺というものがあります。
こちらは2019年と2021年を比較すると、フィッシング詐欺メールだと疑われる申告数は約9.4倍、偽のURLが記載されていたケースであれば約4倍、引っかかってしまった件数も2020〜2022年上半期で大幅に増加しています。

医療機関へのサイバー攻撃
医療機関に対するサイバー攻撃の象徴的な事例としては、昨年末に徳島県のある町立病院でランサムウェア攻撃を受けたというものがありました。
こちらに関して個人的には、医療機関だけを狙い撃ちしたものと考えない方がよいと思っています。
なぜなら、サイバー攻撃を仕掛ける側としては、対象が病院かどうかなどとは関係なく、ましてやその病院が地方に存在するか、規模が小さいかなども全く関係がありません。
サイバー犯罪においては、ただ単純にサイバーセキュリティの脆弱性が認められるところが狙われやすいという傾向があります。

よって、「地方にあるから」、「規模が小さいクリニックだから」ということで油断したりサイバーセキュリティ対策を疎かにしたりせず、それぞれがしっかりと意識してサイバーセキュリティ対策をとって行かなければならないでしょう。