「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか:海外医療技術トレンド(29)(3/3 ページ)
地域医療連携ネットワーク全体に及んだサイバー攻撃のインパクト
次に図4は、NHSにおける「WannaCry」のインパクトを整理したものである。
図4 英国会計検査院(NAO)「NHSにおけるWannaCryのインパクト」(2017年10月27日)(クリックで拡大) 出典:National Audit Office「Investigation: WannaCry cyber attack and the NHS.」(2017年10月27日)報告書は、プライマリーケア(例:かかりつけ医の診療所)およびセカンダリーケア(例:病院)における既知の障害以外に、以下のような未知の障害が存在すると指摘している。
- キャンセルされた患者の予約
- 感染したトラストとデータ/システムを共有していたため、記録にアクセスできなかったNHS組織の数
- 感染したトラストからの、検査結果などの情報の受信が遅れたトラスト/GPの数
- 感染したトラストの事故/救急診療部門から転送された患者の数
その上で、「WannaCry」がNHSに及ぼした影響について、以下のような点を指摘している。
- 攻撃により、イングランドのトラストの少なくとも34%で障害に至った。
- 患者が事故や救急部門を訪れる5つの地域で、予約や業務がキャンセルされた。
- NHSの組織はランサムウェアの身代金を支払っていないが、サービス障害がNHSにとってどれくらいの費用になるかは分からない
- 万一、サイバー研究者が「キルスイッチ」を作動させて止めなかったら、サイバー攻撃はより大きな障害を引き起こしたであろう
さらに図5は、NHSにおけるサイバーセキュリティの役割と責任(2017年9月時点)を示している
図5 英国会計検査院(NAO)「NHSにおけるサイバーセキュリティの役割と責任(2017年9月時点)」(2017年10月27日)(クリックで拡大) 出典:National Audit Office「Investigation: WannaCry cyber attack and the NHS.」(2017年10月27日)英国の地域医療連携ネットワークのサイバーセキュリティ体制は、国家サイバーセキュリティ関連機関を統括する英国内閣府、保健医療行政を統括する保健省、地域医療連携組織を統括するNHSイングランド、医療ITを統括するNHSデジタル、そしてその他の関連機関などによるエコシステムから構成されているのが特徴だ。
当然、NHS傘下の医療情報システムとつながる医療設備/機器の製造販売事業者は、サプライヤー/パートナーとして、これらのエコシステムに組み込まれることになる。「WannaCry」のように、汎用ソフトウェアのセキュリティ脆弱性を突いたサイバー攻撃は、医療機器が直面するリスク要因でもあり、その直接的、間接的インパクトは、医療機関単体のみならず地域全体、国家全体に及ぶ可能性があることを、今回の報告書は示している。
最後に、報告書は、今回のインシデントからの教訓として、以下のような点を挙げている。
- 「WannaCry」に感染した全ての組織が同じ脆弱性を共有しており、自らの保護のために比較的簡単な行動をとることができたはずである
- 「WannaCry」攻撃の脆弱性とトラストのリーダーシップの間に、明確な関係性がなかった
- NHSは、「WannaCry」から学ぶべきことを受け入れ、それを行動に移そうとしている
- サイバー攻撃のイベント時にNHSがすべきことを設定した対応計画を構築し、地方/国家のNHS組織および保健省における役割と責任を確立する
- ソフトウェアのパッチ適用、ウイルス対策ソフトウェアの継続的な更新など、重大なCareCERTアラートを組織が導入していることを確認する
- システムのダウン時の攻撃中に必要なコミュニケーションができることを確認する
- 組織、幹部、スタッフがサイバー脅威を深刻に捉え、最前線のサービスへの直接的リスクを理解して、レジリエンスを最大化し、患者ケアへのインパクトを最小化するように、プロアクティブに取り組む
現在、英国政府は、EU(欧州連合)のネットワーク・情報セキュリティ(NIS)指令の適用に向けた国内サイバーセキュリティ関連ルールの整備作業を進めている(関連情報)。米国でも欧州でも、「医療機器」「非医療機器」に関わらず、重要インフラに該当する地域医療連携システムとつながる製品/サービスは、サイバーセキュリティエコシステムの一翼を担い、技術/組織の両面で、サプライヤー/パートナーとしての要求事項をクリアすることが新たな調達要件となりつつある。日本の医療機器業界にも、プロアクティブなサイバーセキュリティ対策を求める潮流が来ている。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
関連記事
- 連載「海外医療技術トレンド」バックナンバー
広がる米国の医療サイバーセキュリティ連携、製品レベルから産業全体を包括へ
米国で具体的な動きを見せていた医療機器のサイバーセキュリティ対策は、トランプ政権に移行する中で、製品レベルから医療産業全体のサイバーセキュリティエコシステム構築へと広がりつつある。
米国で具体化する輸血ポンプのサイバーセキュリティ対策
米国で具体的な動きを見せつつある医療機器のサイバーセキュリティ対策。医療機器ユーザーの視点に立ったガイドラインづくりも具体化している。
米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は
米国では、クラウドを利用した新規サービスを事業化する医療機器メーカーが増えているが、同時にセキュリティ/プライバシー対策の要求事項も高度化/複雑化している。
急展開した米国サイバーセキュリティ法が医療機器開発に及ぼす影響
ホワイトハウス主導の米国サイバーセキュリティ法が2015年末から急展開を始めている。同法は保健医療分野の製品/システム開発にどのような影響を及ぼすのだろうか。
米国で続出するサイバー攻撃による大規模被害、日本も対岸の火事ではない
米国の医療機関におけるサイバーセキュリティ対策が急ピッチで進む一方、続出するサイバー攻撃による大規模被害。日本の医療機器企業にとっても対岸の火事ではない。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。