医療機関のセキュリティ対策を支援する医療DXソリューションを提供
サイバートラスト株式会社(以下、サイバートラスト)は、厚生労働省より2023年5月に公開された「医療情報システムの安全管理に関するガイドライン 第6.0版」に定められている、ネットワーク関連などの情報セキュリティ対策に医療機関が適合するための医療DXソリューションを提供する。
同ソリューションにより、医療機関における情報セキュリティマネジメントシステム(ISMS)策定、医療情報システムへのアクセス権限の堅牢化、非常時に対応可能なシステムのバックアップ、医療文書の電子保存や電子帳簿保存法対応を支援する。
<背景>
「医療情報システムの安全管理に関するガイドライン 第6.0版」では、リスク評価を踏まえた経営資源・資産の安全管理に関する方針の策定、安全管理対策の必要性、ISMSの確立が求められており、医療機関におけるISMS策定とPDCAサイクルの実施が明記されている。巧妙化するサイバー攻撃において、医療施設外との通信制限のみでの対策は不十分であるとし、医療機関内の閉域環境下を対象としたゼロトラスト ※1 の概念が追加されている。境界型防御による対応だけでは十分でないことは、VPN ※2 装置の脆弱性を悪用し、ランサムウェア攻撃によって医療機関の電子カルテシステムが長期間停止する事態が発生したことからも明らかである。このことから、ゼロトラストの概念にもとづき、医療情報システムにアクセスできる利用者やコンピュータの正当性を確認する仕組みの構築が必要とされている。
非常時の備えとして、不正ソフトウェアなどのサイバー攻撃を想定しネットワークから切り離してバックアップデータを保管することも求められている。また、最適な医療を実現するための基盤整備を推進すべく、政府では医療DX推進本部が2022年に設置され、その取り組みの一つとして電子カルテや電子処方箋の電子データを共通基盤のクラウドで管理し、各医療機関ならびに自治体や介護事業者などとも必要な情報が共有できる「全国医療情報プラットフォーム」が構築される予定となっており、医療文書の電子保存が急務となっている。
サイバートラストは、医療機関向けセキュリティコンサルティングやセキュリティ教育をはじめ、医療情報システムへのアクセス権限の堅牢化、非常時に対応可能なシステムのバックアップ、医療文書の電子保存や電子帳簿保存法対応などを支援するための医療DXソリューションの構成要素として、以下の各種サービスを提供している。
<サイバートラスト 医療 DX ソリューション>
医療機関向けセキュリティコンサルティング サイバートラストが長年の電子認証局の運用で培ってきた、最高水準の情報セキュリティコンサルティングサービスの医療業界向けにご提供するセキュリティコンサルティングサービスです。医療機関が医療情報システムの安全管理に関するガイドラインに適合するための、セキュリティリスク対策を視覚化するためのセキュリティ評価をはじめ、医療情報システムの安全管理に関するガイドラインへの準拠性の調査、ポリシー(規程類)策定支援、バックアップポリシー策定支援、BCP(事業継続計画)策定支援、従業員の知識とモラル向上を図るセキュリティ教育などを実施します。 |
医療情報システムへのアクセス権限の堅牢化 サイバートラスト デバイスIDは、管理者が指定した端末にのみデバイス証明書を登録し、かつ一度登録されたデバイス証明書の複製や取り出しができない仕組みをWindows、macOS、iOSなどで実現したデバイス証明書発行管理サービスです。電子証明書を活用した端末認証によって安全な接続先ネットワークを制御し、医療機関の指定端末のみにアクセス可能にすることで不正な機器の接続を防止します。また、VPN接続、無線LAN認証、クラウドサービス接続時に端末認証を行うことができ、指定した端末のみがアクセス可能となります。 |
非常時に対応可能なシステムのバックアップ MIRACLE System Savior(ミラクル・システムセイバー)は、サーバーベンダーとの連携を強みとして、企業向けシステムバックアップの要件に基づいて開発されました。最新のサーバーやマルチOS、仮想化ソフトウェア、およびクラスタソフトウェアへの対応、24時間サポート、7年間長期サポートを提供しています。2010年3月の発売以来、災害対策への意識の高まりにより導入拡大が進み、製造、流通、通信、医療などさまざまな業種で利用されています。 |
医療文書の電子保存および電子帳簿保存法対応 「iTrust 電子署名用証明書」は、国際的な電子認証局の監査規格であるWebTrust for CA監査 ※3 に合格し、Adobe社の認定するルート証明書リスト(AATL ※4)に対応しているため、Adobe AcrobatやAcrobat Readerなどで「有効な電子署名」として信頼性を視覚的に確認可能になります。また、「iTrust リモート署名サービス」は、書面の電子化で求められる長期間に渡る真正性を確保するための長期署名規格(PAdES ※5)に対応した電子署名・タイムスタンプ機能を提供するクラウドサービスです。 「iTrust 電子署名用証明書」を発行する認証局と「iTrust リモート署名サービス」は、JIPDEC ※6 の厳格な基準に基づく審査により、国内で初めて「JIPDEC トラステッド・サービス登録 ※7(認証局)」と「JIPDECトラステッド・サービス登録(リモート署名/電子契約)」を取得しており、電子文書が発行元の組織から発行されたことの証明と真正性の確保を可能にします。 |
サイバートラストは、長年の運用実績のある電子認証サービス、長期間サポートが可能なシステムイメージバックアップ、電子文書の安全・安心な長期保存を可能にする技術力を活かし、医療機関が求める対策など、さまざまなニーズに対応できるように今後も支援する。
※1ゼロトラストとは、施設内外のネットワークを区別せず、信頼しないことを前提として、すべての接続者、接続端末に対してアクセス認証を行い、毎回セキュリティレベルに達しているのかを検査することでセキュリティを担保することで、2010 年に Forrester Research 社の John Kindervag 氏により提唱されたセキュリティ概念モデル。
※2 VPN(Virtual Private Network)とは、暗号化技術を使い、仮想的に拠点間のプライベートなネットワークを構成する接続方法で、盗聴される危険性が極めて低くなり、安全に拠点間の通信ができる。また、通信回線と一体的に提供される VPN であれば、インターネットを経由しないため、高速な通信を期待できる。
※3 WebTrust for CA 監査とは:米国公認会計士協会(AICPA)とカナダ勅許会計士協会(CICA)が定めた、電子認証局の証明書発行審査基準および運用基準などを定めた国際規格。
※4 AATL とは:「Adobe Approved Trust List」として、Adobe 社が求める要件をクリアした電子認証局のリスト。AATL に登録された電子認証局から発行される PDF 文書署名用電子証明書により、法人(組織)名、住所、署名者の肩書(または所属部署)、署名者の氏名について PDF 上で簡単に電子署名の有効性を検証でき、 署名者本人が押印したものであることの確認が可能である。
※5 PAdES とは:電子署名とタイムスタンプを組み合わせた長期署名規格(PDF Advanced Electronic Signatures)で、長期署名に関する国際規格のひとつ。PDF ファイルの中に電子証明書や失効情報などの検証用情報を組み込むため可搬性に優れ、電子署名の有効性について十年超の長期間にわたって証明可能にしている。
※6 JIPDEC とは:一般財団法人日本情報経済社会推進協会(JIPDEC) 。プライバシーマーク制度の認定や ISMS(情報セキュリティマネジメントシステム)適合性評価制度の制定、電子署名・認証制度の運用を行う機関。
※7 JIPDEC トラステッド・サービスとは:インターネット上のサービスを第三者機関である JIPDEC が安全なサービスであることを確認し、信頼性(トラスト)を担保する仕組み。
■関連 Web サイト
「医療DXソリューション」Webサイト: https://www.cybertrust.co.jp/solutions/medical-dx.html
「サイバートラスト デバイスID」Webサイト: https://www.cybertrust.co.jp/deviceid/
「MIRACLE System Savior」Webサイト: https://www.cybertrust.co.jp/mss/
「iTrust 署名用電子証明書」Webサイト: https://www.cybertrust.co.jp/signature-certificate/
「iTrust リモート署名サービス」Webサイト:https://www.cybertrust.co.jp/remote-signing/
出典:PRTimes サイバートラスト、医療機関のセキュリティ対策を支援する医療DXソリューションを提供