「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか海外医療技術トレンド(29)(3/3 ページ)

» 2017年11月02日 14時00分 公開
[笹原英司MONOist]
前のページへ 1|2|3       

地域医療連携ネットワーク全体に及んだサイバー攻撃のインパクト

 次に図4は、NHSにおける「WannaCry」のインパクトを整理したものである。

図4 図4 英国会計検査院(NAO)「NHSにおけるWannaCryのインパクト」(2017年10月27日)(クリックで拡大) 出典:National Audit Office「Investigation: WannaCry cyber attack and the NHS.」(2017年10月27日)

 報告書は、プライマリーケア(例:かかりつけ医の診療所)およびセカンダリーケア(例:病院)における既知の障害以外に、以下のような未知の障害が存在すると指摘している。

  • キャンセルされた患者の予約
  • 感染したトラストとデータ/システムを共有していたため、記録にアクセスできなかったNHS組織の数
  • 感染したトラストからの、検査結果などの情報の受信が遅れたトラスト/GPの数
  • 感染したトラストの事故/救急診療部門から転送された患者の数

 その上で、「WannaCry」がNHSに及ぼした影響について、以下のような点を指摘している。

  • 攻撃により、イングランドのトラストの少なくとも34%で障害に至った。
  • 患者が事故や救急部門を訪れる5つの地域で、予約や業務がキャンセルされた。
  • NHSの組織はランサムウェアの身代金を支払っていないが、サービス障害がNHSにとってどれくらいの費用になるかは分からない
  • 万一、サイバー研究者が「キルスイッチ」を作動させて止めなかったら、サイバー攻撃はより大きな障害を引き起こしたであろう

 さらに図5は、NHSにおけるサイバーセキュリティの役割と責任(2017年9月時点)を示している

図5 図5 英国会計検査院(NAO)「NHSにおけるサイバーセキュリティの役割と責任(2017年9月時点)」(2017年10月27日)(クリックで拡大) 出典:National Audit Office「Investigation: WannaCry cyber attack and the NHS.」(2017年10月27日)

 英国の地域医療連携ネットワークのサイバーセキュリティ体制は、国家サイバーセキュリティ関連機関を統括する英国内閣府、保健医療行政を統括する保健省、地域医療連携組織を統括するNHSイングランド、医療ITを統括するNHSデジタル、そしてその他の関連機関などによるエコシステムから構成されているのが特徴だ。

 当然、NHS傘下の医療情報システムとつながる医療設備/機器の製造販売事業者は、サプライヤー/パートナーとして、これらのエコシステムに組み込まれることになる。「WannaCry」のように、汎用ソフトウェアのセキュリティ脆弱性を突いたサイバー攻撃は、医療機器が直面するリスク要因でもあり、その直接的、間接的インパクトは、医療機関単体のみならず地域全体、国家全体に及ぶ可能性があることを、今回の報告書は示している。

 最後に、報告書は、今回のインシデントからの教訓として、以下のような点を挙げている。

  • 「WannaCry」に感染した全ての組織が同じ脆弱性を共有しており、自らの保護のために比較的簡単な行動をとることができたはずである
  • 「WannaCry」攻撃の脆弱性とトラストのリーダーシップの間に、明確な関係性がなかった
  • NHSは、「WannaCry」から学ぶべきことを受け入れ、それを行動に移そうとしている
    • サイバー攻撃のイベント時にNHSがすべきことを設定した対応計画を構築し、地方/国家のNHS組織および保健省における役割と責任を確立する
    • ソフトウェアのパッチ適用、ウイルス対策ソフトウェアの継続的な更新など、重大なCareCERTアラートを組織が導入していることを確認する
    • システムのダウン時の攻撃中に必要なコミュニケーションができることを確認する
    • 組織、幹部、スタッフがサイバー脅威を深刻に捉え、最前線のサービスへの直接的リスクを理解して、レジリエンスを最大化し、患者ケアへのインパクトを最小化するように、プロアクティブに取り組む

 現在、英国政府は、EU(欧州連合)のネットワーク・情報セキュリティ(NIS)指令の適用に向けた国内サイバーセキュリティ関連ルールの整備作業を進めている(関連情報)。米国でも欧州でも、「医療機器」「非医療機器」に関わらず、重要インフラに該当する地域医療連携システムとつながる製品/サービスは、サイバーセキュリティエコシステムの一翼を担い、技術/組織の両面で、サプライヤー/パートナーとしての要求事項をクリアすることが新たな調達要件となりつつある。日本の医療機器業界にも、プロアクティブなサイバーセキュリティ対策を求める潮流が来ている。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.