医療機関でもITシステムの構築が進められ、情報活用が活発化しています。電子カルテシステムなどは既に多くの病院で導入されています。厚生労働省の調査によると、400床の一般病院では電子カルテシステムの導入率が75%を超えており※、中小規模の病院でも右肩上がりに導入が進められています。 以前は電子カルテシステムなどに抵抗感を示すドクターや看護士もいましたが、今では院内のIT化は大きく進んでおり、「電子カルテでペーパーレスになる」「カルテを持ち歩く必要がなく、導線が効率的になった」などさまざまなメリットが評価されるようになっています。 一方で、指摘されがちなのが、電子カルテシステムに保存される個人情報の問題です。「USBメモリから患者の個人情報が漏えい」「病院で不正アクセス事件」などがニュースとして取り上げられることもあります。また、地域の提携クリニックや検査会社、薬局とも、電子カルテシステムのカルテ、医事文書などのデータを連携することも増えていますから、多くの病院でセキュリティの確保のために、複数のセキュリティ対策を行っていくことは必須となっています。
多角経営で拠点数が増えた場合のセキュリティ対策も課題に
医療関係の施設を積極的に増設している病院もあります。例えば第二病院の建設を進めたり、リハビリ専門病院、ホスピス、老人ホームの運用も開始するところもあります。さらに、訪問医療を事業化し、その出張所を県内に複数設けている施設もあります。 事業拡大していくと、懸念されるのがセキュリティです。訪問医療向けの小規模な出張所であっても、電子カルテシステムを導入することが多く、情報漏えいを考えると十分なセキュリティ対策は必要です。とはいえ、複数拠点ごとにファイアウォール、IDS/IPS、アンチウィルスなどのセキュリティ機器を導入・運用するのも手間がかかります。
多層防御できるUTMでも、アプライアンス型だと限界が……
そこで医療機関におすすめなのがUTMです。UTMであれば、ファイアウォールとIDS/IPS、アンチスパムなど複数のセキュリティ機能を1台でカバーできるからです。 一方で、アプライアンス型UTMではハードウェアの運用が職員の負荷となります。ITを担当する職員にとって、UTMは大きなメリットがありますが、拠点ごとにUTMを導入するとなると、その導入・運用が手間になるケースも出てくるでしょう。 多くの病院ではIT担当は少なく、一般企業でいう「ひとり情シス」ということもあるようです。
「多層防御」で防ぐ① ファイアウォール
「多層防御」とは幾重もの対策でセキュリティ攻撃を防ぐ考え方です。年を追うごとにサイバー攻撃は激しさを増し、その手口は巧妙になっています。防ぐ側も、現れた攻撃に対処できる複数の仕組みを開発してきました。 これら複数の仕組みを合わせるのが、多層防御です。 多層防御をそれぞれ単体の装置で実施していては、運用が複雑になってしまうことから、開発されたソリューションがUTMというわけです。 この多層防御として、ここではファイアウォールとIDS/IPSを取り上げています。
ファイアウォールは外部から不正に侵入しようとする通信をブロックするソフトウェアです。日本語に訳すと「防火壁」となり、インターネットと社内ネットワークの境界に置く「門番」の役割を持っています。 門番であるファイアウォールは、外部から社内ネットワークに入ろうとしている「データ=不審者」の入館証(ヘッダ=荷札)に記されているポート番号やIPアドレスなどをチェックして、許されていないもの侵入を防ぎません。 たとえば、インターネットの通信では、利用できるポート(門)が決まっており、そのルールに従ってデータを振り分けています。ファイアウォールは利用できないポートをふさいで、空いているポートを探して忍び込もうとする不審なデータをはね返しています。