前々回と前回は、医療ICTの二本柱を紹介しました。今回は医療ICT全般のセキュリティ対策の課題を見ていきたいと思います。
扱っている情報の重さ
医療で扱われる情報は、そのほかの分野に比べても重要度が高くなります。これは情報が流出した場合の影響が大きいというだけでなく、情報が失われた、あるいは改ざんされた場合でも同様です。たとえば、オンライン通販の購入記録が失われたり改ざんされたとしても、人が死ぬことはまずありません。ですが、電子カルテの記録が失われたり改ざんされた場合は、その人の命にかかわる可能性も考えられます。
診療情報の流出や破損・改ざんを防ぐためにもマルウェアの対策は必須です。その際には、既知のマルウェアへの高い検出力だけでなく、未知のマルウェアへの対応能力、また通常業務の支障にならないようなリアルタイムスキャンの高いパフォーマンスも求められます。 医療業務に使用するPCで業務の動作遅延が発生しては、医者や看護師に残業させることになってしまいますし、患者にとっても診察までの待ち時間が増えるため、双方に悪影響があるといえます。こういった問題を回避するため、アンチウイルスソフトに対する知識や、業務システムを円滑に運用するための十分な検証、場合によっては設定のチューニングなどが必要となってきます。
アンチウイルスソフトの導入と運用に加えて、昨今の増加が著しい標的型攻撃や新しいタイプの攻撃に対応するために、万が一マルウェアに感染した場合でも、情報を外部に持ち出させないような出口対策も行なうのが望ましいでしょう。出口対策については、過去のコラムを参考にしてください。
こういったアンチウイルスソフトの導入を行なえる技術者を確保することや、また病院側でも対策が十分でパフォーマンスを確保できているかを検討できるだけのIT知識を備えた人材を確保することが大きな課題となっていると考えられます。
システムの安定動作の確保をどう実現するか
保存されている診療情報の流出などだけでなく、診療中の医療システムの誤動作を防ぐことなども非常に重要な課題です。医療システムには、動作の安定性が強く求められます。たとえば電子カルテのガイドラインで真正性の確保が求められているように、入力した内容が消えてしまうことを避ける必要があります。動作の安定性は、業務の効率化にもつながり、アンチウイルスソフトでパフォーマンスが求められるのと同様、業務の効率化は医療従事者と患者の双方にメリットがあります。たとえばネットワークワームがOSの脆弱性を利用する感染活動の結果として、OSの再起動が繰り返されるなどという現象は、Blasterなどこれまでにいくつも事例があります。こういった被害が医療システムで発生した場合、動作の安定性は著しく失われることとなってしまいます。
残念なことに、こうした動作の安定性に対する影響は、マルウェアだけが原因とは限りません。アンチウイルスソフトをはじめとするセキュリティソフトも、システム動作を不安定にさせる一因となり得るのが現実です。たとえば、セキュリティソフト導入後、ドライバのバッティングが原因でシステムクラッシュが発生したというような事象を経験したことがある方も多いと思います。
複数のソフトウェアの競合だけでなく、単一のソフトウェアのバグによっても動作が不安定になることは十分に考えられます。特にアンチウイルスソフトでは、パターンファイルや検査エンジンが日々更新されるため、導入時には起こらなかった問題が、導入後しばらく経ってから急に発生するという可能性も十分に考えられます。
もちろん、ソフトウェアのバグがより少なくなるよう、エフセキュアを始めメーカー側も努力する必要がありますが、現実問題としてバグを完全に発生させないというのは不可能です。一般財団法人医療情報システム開発センターによる「平成20年度の医療情報システムに関する調査」では、情報システム担当部署が存在しない病院・診療所が34%あるそうですが、やはりトラブルが発生した場合に、いち早く問題を解決し医療システムを安定動作させる技術者を用意する必要があるといえるでしょう。
導入に際しては、業務に必要なソフトとセキュリティソフトをパッケージング化したものを使い、検証をパッケージの発売元に担保してもらうことにより、病院側の負担を減らすことも考えられますが、運用時のトラブルシュートの手間を減らすのは難しいです。大病院では、技術者をアウトソーシングするという方法も考えられますが、小さい診療所ではコスト面での負担がさらに増えることになります。こうした運用時の負担も、医療ICTを妨げている要因の1つでしょう。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ