「病院はベンダと喧嘩したいワケではない 協力体制を築きたい」医療 ISAC 代表理事 講演 | ScanNetSecurity
2025.10.03(金)

「病院はベンダと喧嘩したいワケではない 協力体制を築きたい」医療 ISAC 代表理事 講演

 「言い訳っぽくなりますが、診療報酬というものに基づいて事業を行っている医療機関は、サイバー攻撃対策をいくらやっても診療報酬では戻ってこない。だから予算を組まない……という、構造的な事情があるということは、これまでも指摘されていたところです(深津代表理事 [取材時の肩書])」

研修・セミナー・カンファレンス セミナー・イベント
医療 ISAC 活動実績
医療 ISAC 活動実績 全 6 枚 拡大写真

(編集部註:2024年10月7日、小森直之氏(一般社団法人日本医療法人協会・副会長/医療法人恵仁会なぎ辻病院・理事長)が一般社団法人医療ISACの代表理事に就任した)

 2024 年 3 月に開催された総合セキュリティカンファレンス「Security Days Spring 2024」。ほとんどの講演者がいわゆる IT 分野をバックグラウンドとする中で、文字通り “異彩” を放っていたのが医療 ISAC の代表理事(取材時肩書)、深津 博 氏(取材時所属)だ。医療 ISAC の団体概要を確認したところ、同氏の肩書は「愛知医科大学 医療情報部長・教授、放射線専門医」。誰がどう見ても、歴(れっき)としたお医者様です。

 ScanNet 読者諸氏におかれては既知であろう、2021 年から 2023 年にかけて医療機関へのサイバー攻撃が激化し、外来が休止する等、医療機関として大問題へと発展するインシデントが何度も起こった。これを受けて厚生労働省、総務省、経済産業省が、医療情報システムに関わる安全管理ガイドラインを策定したのは記憶に新しい。この大きな IT 改革に取り組む “医療側” のココロとは、どこにあるのだろう。そんな興味で、筆者は 3 月 14 日開催の「医療機関が直ちに行うべきサイバーセキュリティ対策(厚労省ガイドライン 6.0 版対応を含めて)」の講演会場に向かった。

● 2021 年の半田病院でのインシデント、からの 2022 年の大阪急性期医療センター

 あまりにも有名になってしまった徳島県つるぎ町立半田病院のランサム被害事例が、本セミナーでもまるで “お手本” のように語られた。本件詳細は割愛するが、VPN 装置 FortiGate のログインユーザー ID とパスワードのリストが大量に漏洩したことに端を発する。8.7 万台分の漏洩データの中に、半田病院のグローバル IP アドレス、ID、パスワードが含まれていた。これは既知の脆弱性(CVE-2018-13379)が放置されていたことを攻撃者が悪用して入手したものだ。脆弱性について開発元の FORTINET は再三再四勧告を出していたが、当該装置については修正がなされていなかった。

 「結果的に、この VPN 装置の脆弱性があるということを、半田病院に持ち込んだ事業者は知っていたんですが、対策をしていなかったということが報告されています。この事業者からは、保守契約書の中で VPN 装置の脆弱性を対策することは自分たちの仕事であるというふうには明記されていなかったので、我々の仕事ではない、だから責任はない、といったような説明がされているということです(深津代表理事 [取材時肩書])」


《かのうよしこ(KANO, Yoshiko)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop