第一期｜医療機関向けサイバーセキュリティプロジェクト

 

 

第一期｜医療機関向けサイバーセキュリティ対策プロジェクト
- 参加病院について- 

 

医療機関のサイバーセキュリティを本格的に導入するにあたっては、個別の病院ごとに課題を特定し優先度を決めて行っていく必要があります。しかし、現在多くの医療機関では、それらの課題特定に向けても、予算を十分に充てられないなど、厳しい状況が続いております。

 

今回のクラウドファンディングでは、医療機関に対するサイバーセキュリティ導入に向けて、まず全ての病院で必須となる「マストセキュリティ」サービスの導入のためのご支援を募ります。

 

ご支援にあたっては、支援対象の病院を選択可能です。(※指定せずに支援することも可能です。)

 

病床規模別や開設者別にセキュリティ対策の実施状況に差がありますが、セキュリティ担当者の配置もない病院も多く、サイバーセキュリティ対策を念頭において事業継続計画(BCP)を策定しない病院が7割以上、外部によるセキュリティ監査を受けていない病院が9割、サイバー保険に未加入の病院が7割以上という、平均してほとんど対策ができていない状況です。*2

（*2 ：医療ISAC・四病院団体協議会サイバーセキュリティに関する緊急アンケート調査2022）

 

 

一般企業であればセキュリティ対策経費を商品価格等に転嫁できますが、病院ではコロナ禍による影響も大きく、対策が行えない（診療報酬は公定価格であるため）こと、また病院の経営状況はコロナ禍以降厳しい状況が続いており、セキュリティ対策にかけられる経費捻出が困難であるという事情があります。

 

今回は事前にサイバーセキュリティの導入を希望いただいた病院を対象に、各病院指定支援金が100万円ごとに、それぞれの病院に対して上記対策を導入することから始めていきます。

 

 

 

どういった対策を導入するのか？

サイバーセキュリティ導入に向けて、全ての病院で必須となる「マストセキュリティ」は、大きく分けて以下の3つを行っていきます。

 

 

 

1, DMARCメール設定コンサルティングサービス

「送信者のなりすまし」・「メール内容の改ざん」を防ぐセキュリティ技術。
医療ISACが現状のメール環境を診断。必要に応じて対策のコンサルテーションを実施します。

 

 

 

2, 脅威インテリジェンスサービス診断・監視

 

インターネット上の公開情報（OSINT）から病院システムが攻撃者から狙われるアタックサーフェス（攻撃対象領域）が無いか診断します。

さらにダークネットで活動する脅威アクターの会話や投稿およびブラックマーケットでの売買の情報の監視を行い、今まさに対象病院が狙われているかどうか監視し、その兆候を発見した場合は直ちにアラート通知を致します。

この監視サービスは2021年12月に医療ISACが東京都立病院に対してサイバー攻撃の注意喚起を行った際に使用したもので、医療分野に対しての提供は医療ISACが知る限り国内初となります。

 

 

 

 

3, サイバーセキュリティコーディネーターサービス

脅威インテリジェンスサービスの結果を受け、病院システムに必要なセキュリティ対策の方針決定を医療ISACのスタッフが優先順位や緊急性、予算感を考慮しサポートします。

 

 

【実施パターン例】

 

 

+α  診断結果に基づくソリューションの導入

マストセキュリティ導入に必要な各病院100万円を超える支援額が達成された場合、その超過分は診断結果に基づいて医療機関ごと最適なソリューションを導入する費用に充当していきます。

 

 

 

なぜ今、病院のサイバーセキュリティ対策が急がれるのか？

■ 遅れている医療機関のサイバー対策

 

情報セキュリティ対策に対応できている医療機関は全体で42％という水準となり、医療機関において情報セキュリティに対する対策・意識が50％までは届いていない結果となっています。また、医療法人や医療生協では30％を下回る結果となっており医療分野の中でも格差がはっきりと表れています。*2

（*2 ：医療ISAC・四病院団体協議会サイバーセキュリティに関する緊急アンケート調査2022）

 

また、収束の見えないコロナ禍は国内の病院経営にも大きな影響を及ぼしています。

 

一般企業であればセキュリティ対策経費を商品価格等に転嫁できますが、病院ではコロナ禍による影響も大きく、対策が行えない（診療報酬は公定価格であるため）こと、また病院の経営状況は厳しく、セキュリティ対策にかけられる経費捻出が困難であるという事情があります。

 

 

また、昨今、医療機関を狙うサイバー攻撃は多発しており、大変深刻化しています。

 

このような現状を背景に、「医療情報システムの安全管理に関するガイドライン」についても改定の動きがあり、令和4年3月の「医療情報システムの安全管理に関するガイドライン 第5.2版」ではランサムウェアによる被害の増加等の影響も踏まえ改訂が行われ、医療機関におけるセキュリティ対策は大きな注目を集めています。

 

皆さまのご支援は、医療機関のサイバーセキュリティ対策を大きく進めていく一歩になります。

 

どうぞ、あたたかいご支援のほどよろしくお願いいたします。

 

医療ISACについて

■ 団体概要

 

私たちは医療ISACは、医療分野における情報セキュリティの重要性を啓発するために2013年に活動を開始したメディカルITセキュリティフォーラム（MITSF）を前身とし、2019年10月に現在の名称に改称した非営利的団体であり、多くの法人会員、個人会員、および協力企業を擁する団体に成長しました。

 

現在もセミナーや、9分野の分科会を開催し、関係各機関への提言や、ガイダンスの公表等を行っており、実際の医療分野で情報セキュリティに関連する問題を解決するための、具体的なサービスの提供にも注力していくべく活動を続けています。

 

一般社団法人 医療ISAC （英語表記：Medical ISAC Japan）HP：https://m-isac.jp/ 

 

 

■ 実行代表よりご挨拶

 

 

セキュリティ対策で重要なことは有事を想定するのではなく、常に最新かつ適正なサイバーセキュリティの情報を維持していくことにあります。有事を想定した対策は、起こってしまった問題解決を図る対症療法でしかないため、抜本的な問題解決とは言えません。

 

また、医療現場においては、人命に関わる取り返しのつかない結果を招いてしまう可能性もあるからこそ、有事を想定するのではなく常に予防対策に努めることが必要と言えます。日本国内の医療機関に対するサイバー攻撃は急増していることからも、最悪の事態を招かないために、医療機関のサイバーセキュリティの健全性を保てるよう取り組むことが大切だと考えています。

 

 

・支援完了時に「応援コメント」としていただいたメッセージは、本プロジェクトのご支援獲得のPRのために利用させていただく場合があります。

 

・ 本プロジェクトのリターンのうち、【お名前掲載】に関するリターンの条件詳細については、リンク先（https://readyfor.jp/terms_of_service#appendix）の「支援契約」の中にある「●命名権、メッセージの掲載その他これに類するリターン」をご確認ください。

 

※本プロジェクトは目標金額の達成有無にかかわらず、支援をした時点で申し込みが確定し、その後のキャンセルはできませんのでご注意ください。

 

※本プロジェクトはAll-in形式のため、目標金額300万円の到達有無にかかわらず当該活動を行います。本プロジェクトでは、各病院へのご支援が100万円に到達するごとに、該当病院への「マストセキュリティ」パッケージ導入を実施します。各病院へのご支援が100万円に満たない場合でも、集まった金額に応じた「マストセキュリティ」サービスの一部提供を実施します。

 

※支援完了時に「応援コメント」としていただいたメッセージは、本プロジェクトのPRのために利用させていただく場合がございます。あらかじめご承知おきください。