Special Issue
<医療ITソリューション特集>医療機器が直面するリスク ウイルス感染調査の結果と対策を検証 病院セキュリティを考える――熊本大学医学部附属病院
2012/12/20 19:55
週刊BCN 2012年11月26日vol.1458掲載
【Profile】
●熊本大学医学部附属病院
内科部門、外科部門、成育医療部門、感覚・運動部門、放射線診療部門、脳・神経・精神部門を持つ。患者本位の医療の実践、医学の発展および医療人の育成に努め、地域の福祉と健康に貢献することを基本理念に掲げ、質の高い医療サービスの提供に努める。
●熊本大学医学部附属病院
医療技術部 診療放射線技術部門 池田 龍二氏
熊本大学医療技術短期大学部卒業。熊本大学医学部附属病院中央放射線部、佐賀大学医学部附属病院放射線部などを経て、2010年より現職。PACS Innovation研究会世話人などを歴任し、PACSのあり方について提言を行うなど、幅広い活動を行っている。
内科部門、外科部門、成育医療部門、感覚・運動部門、放射線診療部門、脳・神経・精神部門を持つ。患者本位の医療の実践、医学の発展および医療人の育成に努め、地域の福祉と健康に貢献することを基本理念に掲げ、質の高い医療サービスの提供に努める。
●熊本大学医学部附属病院
医療技術部 診療放射線技術部門 池田 龍二氏
熊本大学医療技術短期大学部卒業。熊本大学医学部附属病院中央放射線部、佐賀大学医学部附属病院放射線部などを経て、2010年より現職。PACS Innovation研究会世話人などを歴任し、PACSのあり方について提言を行うなど、幅広い活動を行っている。
IT機器のウイルス被害で診療業務が停止する可能性も
医療技術部 診療放射線技術部門
池田 龍二氏
仮に医療現場がウイルスやサイバー攻撃の被害に遭うと、最悪の場合、患者の個人情報の漏えい、診療情報の滅失、診療業務の停止といった事態を招く可能性があります。
もちろん、そうしたリスクを理解し、多くの病院では、医療情報部門を中心に、レセコン、オーダリングシステム、電子カルテなどを中核とする病院情報システム(HIS)や端末に様々な対策を施していることでしょう。
しかし、院内には、いまだに大きなリスクを抱えている機器があると私は考えています。臨床検査部門の各種検査システム、臨床工学部門の人工透析装置、オペ室の機器、私が所属する放射線部門のPACS(医用画像管理システム)、モダリティ装置、画像処理用のワークステーションなどです。
リスクが大きい部門管理の機器 USBメモリが感染経路に
これらは、各部門が独自に管理しているケースがほとんどです。つまり、医療情報部門のセキュリティ対策の対象外となっているのです。にもかかわらず、近年、機器の制御に用いる専用端末には、Linuxではなく、広く普及しているWindows PCが用いられるようになっており、端末がウイルスに感染するリスクは極めて大きくなっています。セキュリティリスクを高めている要因は他にもあります。ほとんどの機器、端末がインターネットにつながっていないことです。ウイルス対策ソフトは、インターネット経由でパターンファイルを更新し、それをもとにウイルスの検索・駆除を実行します。そのため、インターネットにつながっていない端末を守るのは困難なのです。また、薬事法により医療機器の承認を受けた機器は、他のソフトをインストールすることも、OSのセキュリティパッチを適用することもできません。仮にインストールして、ベンダーの保証範囲を外れると、機器に異常が起こった場合には、その修復に数百万円かかることもあります。
しかも、インターネットにつながっていないことは過信にもつながっているようです。多くの人が、ウイルスはインターネット経由で感染すると思いがちです。しかし、近年、USBメモリやCD、DVDなどの可搬媒体を経由してウイルスに感染する被害が拡大しています。
すでに使用を禁止している病院もありますが、学会発表用の資料を自宅で作成するためにデータを持ち帰る、共有システムにアップする必要のないデータを個人で保有するなど、院内でUSBメモリを使う機会はまだ多いのではないでしょうか。それがウイルス感染につながっているのです。
また、医用画像をはじめ、患者情報の受け渡しに使う可搬媒体がウイルス感染源となるケースも多いようです。自身が感染するのはもちろん、自病院が用意した可搬媒体で他病院に被害をもたらしたとなると、病院の信用問題にもつながります。
独自に実施した調査では30%の端末がウイルスに感染
こうしたリスクの実態を明らかにするため、私は有志で結成したROCK研究会(熊本画像情報システム懇談会)と共に、最近、熊本県内の9施設、27台の画像処理ワークステーションを対象に、ウイルス感染調査を実施しました。まず、ウイルス対策の状況は、対策ソフトを導入しているワークステーションはわずか17%。無償のソフトを利用しているものもあり、安全性には疑問が残る状態でした。
その上で、ウイルス感染状況を調べると、30%のワークステーションがウイルスに感染という結果でした(図1)。これらの数字が何を示しているかは、言うまでもないでしょう。
では、こうしたリスクを回避するには、どのような対策を施せばよいのでしょうか。理想を言えば、機器ベンダーも交えて抜本的な解決を検討すべきですが、ベンダー間の調整や標準的な仕様を策定するには時間が必要です。そこで、私たちが有効なソリューションだと考えているのが、トレンドマイクロのTMPS(※1)です。
インストール不要のツールで医療機器に適切な対策を
このツールはUSBメモリ型の形状をしており、端末に差し込むだけで、ソフトウェアをインストールすることなく(※2)、ウイルスの検索・駆除を行えます。パターンファイルは、インターネットにつながった端末で更新でき、インターネットにつながっていない、外部ソフトをインストールできないという事情を抱える画像処理ワークステーションなどの専用端末に最適なツールです(図2)。可搬媒体作成装置に適用し、作成した可搬媒体にウイルスに感染したファイルが含まれていないかなどをチェックする際にも有効でしょう。その際、ウイルス感染リスクの少ないDICOMフォーマットの画像を検索対象外とすれば、チェック時間も大幅に短縮できます。
安全と安心は、病院の評価を左右する大きな条件となります。私たちは、いま一度、院内の端末が直面しているリスクを検証し、対策に乗り出すべきではないでしょうか。
【POINT】
● インターネットに未接続の医療機器にもウイルス感染のリスクあり
● 実際に30%の端末がウイルスに感染しているという調査結果も
● 医療機器に有効なUSBメモリ型ウイルス検索・駆除ツール「TMPS」(※1)
● インターネットに未接続の医療機器にもウイルス感染のリスクあり
● 実際に30%の端末がウイルスに感染しているという調査結果も
● 医療機器に有効なUSBメモリ型ウイルス検索・駆除ツール「TMPS」(※1)
※1 Trend Micro Portable Security(TM)
※2 ウイルス検索時に一時的に検索対象端末にドライバおよびローカルHDDにファイルを作成するが、検索終了後、検索対象端末に当該ドライバおよびファイルは残らない。
※3 管理用端末でパターンファイルをアップデートした時点の最新のパターンファイルにてウイルスチェックを行う。なお、TMPSは管理用端末のウイルス検索は行わない。
※2 ウイルス検索時に一時的に検索対象端末にドライバおよびローカルHDDにファイルを作成するが、検索終了後、検索対象端末に当該ドライバおよびファイルは残らない。
※3 管理用端末でパターンファイルをアップデートした時点の最新のパターンファイルにてウイルスチェックを行う。なお、TMPSは管理用端末のウイルス検索は行わない。
東京本社 〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー
TEL:03-5334-3601(法人営業代表) FAX:03-5334-3639
http://jp.trendmicro.com/jp/products/enterprise/tmps/
Trend MicroおよびTrend Micro Portable Securityはトレンドマイクロ株式会社の登録商標です。
- 1
関連記事
<医療ITソリューション特集>USBメモリのセキュリティ対策が急務 クローズドネットワーク環境の盲点にご注意
<医療ITソリューション特集>意外な盲点 USBのウイルス対策は大丈夫ですか?
医療ITビジネス 構造変化が商機につながる 問われる業務改革の実行力
<Industry Chart 業界の今を俯瞰する>医療情報システム市場 電子カルテを中心に拡大基調 2013年には約700億円の上積みか
