何を考え、どのような優先順位で対策を行えばよいのか?
医療機関が取り組むべき情報セキュリティ対策2023
愛知医科大学 医療情報部長・特任教授
一般社団法人 医療ISAC 代表理事
深津 博(ふかつ ひろし) 氏
医療機関に対するランサムウェア被害は2021年以降多発しているが、個々の事例を見ると、ベンダーが持ち込んだFortiGateVPN機器等の脆弱性、データバックアップのランサムウェア非対応の問題が、複数の事例で共通する課題として指摘できる。
前者はベンダーが持ち込んだ機器の存在を医療機関は知らず、そこに放置された脆弱性をつかれて侵入を許すケースである。FortiGateについては2022年10月に新たな脆弱性と、攻撃手法も公開されており、現在非常に危険な状況と言える。
また後者についても、オフライン、クラウド、NASを利用したオンラインなど様々な方式が提案されており、医療機関が何を選ぶべきか非常に分かりにくい状況にある。
本講義では、医療機関のサイバーセキュリティを高めるためのベンダーとの協力方法を含む対峙法を、事例を紹介しつつ解説する。またプロアクティブな対策方法としての、脅威インテリジェンスの活用方法についても、事例を含め解説する。
1.医療機関におけるランサムウェア感染の事例から導出される教訓
:特にFortiOSおよびデータバックアップについて
2.システムおよび医療機器ベンダーとの付き合い方
:「セキュリティはベンダーに丸投げ」で本当によいのか?
3.経済産業省・総務省ガイドラインの活用方法(事例紹介)
4.脅威インテリジェンス診断の有用性
1985年 名古屋大学医学部卒業
2002年 名古屋大学医学部附属病院放射線部助教授
2005年 日本医療コンシェルジュ研究所設立・代表理事就任
2009年 愛知医科大学病院教授・医療情報部長
2014年 メディカルITセキュリティフォーラム設立・代表理事就任
2018年 米国Health ISACと事業提携
2019年 メディカルITセキュリティフォーラムを医療ISACに改称
経済産業省・総務省の医療ガイドライン検討会議委員
IPA民法改正に伴うソフトウエア開発事業者のためのモデル契約作成プロジェクトチーム委員
2020年 Health ISAC Council Japan日米共同代表就任
現在に至る
