(学会発表版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
•
0 likes•20,710 views
第24回日本医業経営コンサルタント学会での発表資料です。 日時:2019.10.18(金) 09:25~09:45 場所:名古屋東急ホテル
![近畿地区協議会[2018年度研究会実績報告]
病院管理職向け
サイバーセキュリティ机上演習シナリオの開発
近畿地区協議会・サイバーセキュリティ演習研究会
発起人 総務委員(大阪府支部) 小川 敏治
第23回医業経営コンサルタント学会 愛知大会
日時:2019.10.18(金) 09:25~09:45
場所:名古屋東急ホテル
Ver 1.2](https://image.slidesharecdn.com/med-ttx200120-200120042942/85/-1-320.jpg)
More Related Content
What's hot
What's hot (20)
Similar to (学会発表版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
Similar to (学会発表版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発 (20)
More from HealthcareBitStation
More from HealthcareBitStation (20)
(学会発表版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
- 1. 近畿地区協議会[2018年度研究会実績報告] 病院管理職向け サイバーセキュリティ机上演習シナリオの開発 近畿地区協議会・サイバーセキュリティ演習研究会 発起人 総務委員(大阪府支部) 小川 敏治 第23回医業経営コンサルタント学会 愛知大会 日時:2019.10.18(金) 09:25~09:45 場所:名古屋東急ホテル Ver 1.2
- 2. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 1 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 3. 1.はじめに (1)背 景 「医療」分野を含め14分野の重要インフラ分野において、 サイバー攻撃に対するIT障害の未然防止、発生時の被害拡大防止・迅速な復旧およ び再発防止などを推進。 内閣サイバーセキュリティセンター(NISC) ■ サイバー攻撃による病院の診療業務に影響が発生することを前提に、病院の組織 横断的な医療安全リスクマネジメントが機能するかどうかを事前に検証しておくこと が必要不可欠。 ■ しかしながら、サイバー攻撃による医療安全リスクマネジメント機能を検証し自病院 の緊急事態対応体制やルール(安全管理規程、業務継続計画(BCP)など)の不備 を洗い出し改善に繋げるような机上演習は官民学とも無い。 2 ■ 「災害拠点病院」の指定要件として、業務継続計画(BCP)策 定の義務化等を追加。 ■ 「医療機関等におけるサイバーセキュリティ対策の強化につ いて」を発出し、医療関係機関に注意喚起。 厚労省 東京2020 オリンピック・ パラリンピック
- 4. (2)目 的 ■ サイバー攻撃を起因とした病院の組織横断的な各種リスクマネジメント機能強 化に寄与することを目的に、関係団体と連携して、病院管理職向けのサイバー セキュリティ机上演習シナリオを開発。 ■ 机上演習に参加者(病院職員)が、演習の体験や気づきを自病院に持ち帰り、 自病院のサイバー攻撃に対する対応計画「緊急事態対応体制やルール(安全 管理規程、業務継続計画(BCP)など)」の見直しに繋げて頂く。 3
- 6. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 5 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 7. 2.計画 (1)開発ステップ 6 全 体 計 画 机上演習シナリオ開発 机上演習試行 評価及び考察 病院ニーズ調査 ステップ1 ステップ2 ステップ3 ステップ4 ステップ5 10月 ↓ 2019年 1月 7月 ↓ 9月 6月 2月 3月 【研究員及び病院の募集】 本研究会の講師及び オブザーバーのご講演 【キックオフミーティング】 ①本研究会について ②年度計画 【病院ニーズ調査】 ①調査の分担と日程 ②調査項目 ③ニーズ抽出⇒シナリオ 【机上演習シナリオ開発】 ①演習実施計画書 ②内外環境設定書 ③演習課題書 ④その他 【机上演習試行】 2/16(土)午後 【評価及び考察】 ①演習結果評価 ②研究会報告書 公開セミナーステップ0 2018年 4月
- 8. ニーズ調査 7~9月 (2)体 制 当協会 近畿地区協議会 当研究会 2018.06~2019.03 ON:グループウェア OFF:1回/月(第3土) 近畿地区 各支部から参加 計8人 岡谷講師 アドバイザー 病院医療情報部職員 情報処理安全確保支援士 弁護士など オブザーバー JPCERT/CC 国立情報学研究所 保健医療福祉情報システム工業会 国立精神・神経医療研究センター ご賛同・ご協力病院 社会医療法人 愛仁会 済生会吹田病院 済生会中津病院 多根総合病院 京都第一赤十字病院 洛和会音羽病院 竹田綜合病院 佐世保中央病院 熊本赤十字病院 計 9病院 ご指導 ご支援 机上演習試行 2019.02.(大阪) 机上演習 シナリオ ご参加 5~6人/G×1G 募集案内 12月 ご指導 ご支援 7 (五十音順)
- 9. 8 区分 氏 名 所 属 研究員 当協会近畿地区協議会 支部会員 大阪府支部 宮部 剛実 大阪府済生会吹田医療福祉センター 事務局次長 同 上 赤松 和弘 Apro's税理士法人 所長 同 上 澤田 哲朗 ビジネスフォース(株) 代表取締役 同 上 向 健二 officeあおぞら 税理士 向健二事務所 所長 奈良県支部 五十嵐 誠二 有限会社MEINS 代表 兵庫県支部 藤原 聡 特定医療法人財団清良会 財団事務局 滋賀県支部 岡本 倫明 株式会社増田医科器械 滋賀支店 支店長 大阪府支部 (発起人) 小川 敏治 one株式会社 代表取締役 (敬称略) 研究員(8名) 近畿地区各支部会員公募
- 10. 外部有識者(9名) 9 区分 氏 名 所 属 講 師 当分野の第一人者で講師として招き、ご指導頂く。 岡谷 貢 NPO日本ネットワークセキュリティ協会 問題検証型机上演習指導教官 アドバイザー 当研究員の知識や経験を補うために、アドバイザーとしてアドバイスを頂く。 山田 夕子 社会医療法人 愛仁会本部 医療情報部 福本 洋一 弁護士法人 第一法律事務所 パートナー 飯田 哲哉 株式会社日本経営 組織人事コンサルティング部 堀内 武志 情報セキュリティスペシャリスト(情報処理安全確保支援士) プライバシーマーク審査員 オブザーバー 関係団体との連携の下、当分野の有識者のご協力を頂く。 有村 浩一 一般社団法人 JPCERTコーディネーションセンター 常務理事 高倉 弘喜 国立情報学研究所 サイバーセキュリティ研究開発センター・センター長 アーキテクチャ科学研究系・教授 茗原 秀幸 一般社団法人保健医療福祉情報システム工業会 医療システム部会 セキュリティ委員会 委員長 緒方 健 国立研究開発法人国立精神・神経医療研究センター 精神保健研究所 精神医療政策研究部 PECO研究委嘱セキュリティアドバイザー (敬称略) 当分野の第一人者 (元防衛省自衛隊)
- 11. ご賛同・ご協力病院(9病院) 10 京都第一赤十字病院 洛和会音羽病院 (2病院) 竹田綜合病院 佐世保中央病院 熊本赤十字病院 社会医療法人 愛仁会 済生会 吹田病院 済生会 中津病院 多根総合病院 (4病院) *五十音順
- 12. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 11 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 13. 病院ニーズ(課題)調査の結果(9病院) (1)業務継続計画(BCP)やサイバー攻撃対応規定の策定状況について 12 Q1 厚生労働省医政局指導課「病院におけるBCP の考え方に基づいた災害対策マニュアルにつ いて」に基づいて、事業継続計画(BCP)を策 定されていますか? Q2 厚生労働省「医療情報システムの安全管理に 関するガイドライン」最新版(第5版)の「サイ バー攻撃時の対応について」を院内規程に反 映されていますか? A1 A2 ■ 「サイバー攻撃の特性におけるリスクを知り、自病院の規程やマニュア ルに反映したい。」などのご意見も頂いた。
- 14. 病院ニーズ(課題)調査結果(9病院) (2)サイバー攻撃に対する課題について 13 ⑤ サイバー攻撃の初動対応? ⑧ 所管官庁及び関連組織との連携体制? ⑨ マスコミ等報道機関の対応? ⑦ 患者情報漏えい事案発生時の対応? ① サイバー攻撃と医療安全との関係性の理解? ② サイバー攻撃の特性に対応した医療安全管理体制? Y.医療安全課題 X.患者情報漏えい課題
- 15. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 14 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 16. (2)机上演習シナリオ開発 15 テーマ(狙い)を2つに分け、シナリオX、Yを開発。 ⑤ サイバー攻撃の初動対応? ⑧ 所管官庁及び関連組織との 連携体制? ⑨ マスコミ等報道機関の対応? ⑦ 患者情報漏えい事案発生時の 対応? ① サイバー攻撃と医療安全との関係性 の理解? ② サイバー攻撃の特性に対応した医療 安全管理体制? Y.医療安全課題 X.患者情報漏えい課題 シナリオY 【テーマ】 「サイバー攻撃と医療安全の関係」 の理解及び体験 シナリオX 【テーマ】 サイバー攻撃による患者情報漏え い時の組織的対応
- 20. 【シナリオX概要】 ① 外部からの通報で患者情報漏えいが発覚し、当該病院が緊急対応(危機管理 本部を設置)を行っている段階とする。 【演習実施要領】 ① プレイヤーは、各々の役割(右図①~⑤)を 演じ、「既存規程類(内外環境設定書)」に 基づく組織対応を行う。 病院長 事務局(事務部長) 診 療 部 長 看 護 部 長 医 療 技 術 部 長 医 療 連 携 室 長 危機管理本部長(個人情報保護管理者) 情 報 シ ス テ ム 室 長 経 営 企 画 課 広 報 室 長 長 ① ② ④③⑤ 19 * 青枠以外の職員や外部関係者は、 ファシリテータが担う。 演習課題書(シナリオX)
- 21. 演習課題書(シナリオX) 一部抜粋 20 【状況経過】 △月△日 10:00 状況① 内閣サイバーセキュリティセンター(NISC)情報統括グループ 山口 氏から厚労省医政局研究開発振興課医療技術情報推進室(医政局医技 室)経由、大阪府保健医療室を通じ、当病院 情報システム室 室長 黒川に当病院の患者情報の漏えいの通報があり。 10:10 状況② 情報システム室 室長 黒川が基幹システム開発ベンダーA社 責任 者 品川氏に調査依頼。 10:20 状況③ 情報システム室 室長 黒川が個人情報保護管理者である副病院長 大橋に本漏えい事案を伝えた。 10:30 状況④ 当病院の個人情報保護規程に基づき、個人情報保護管理者である副病 院長の指示により、危機管理本部を設置し院内関係者を招集して患者 情報漏えい事案の緊急対応を協議し始めた。 11:00 状況⑤ 基幹システム開発ベンダーA社 責任者 品川氏から調査結果の第一 報「基幹システムからの流出は確認出来ない。一方、FWルータのログ 等を調査したところ、医療連携開示サブシステムから外部流出が確認 出来た。」との報告を受けた。 11:10 状況⑥-1.情報システム室 室長 黒川が、医療連携開示サブシステムの停止 及び病院情報システムの情報系システムから切り離しを指示すると 共に、地域連携システム開発ベンダーC社 責任者 古谷氏に地域 連携システムの調査依頼。 状況⑥-2.また、関係組織への初動報告を行うと共に、漏えいした患者本人へ の連絡を開始した。 キーイベント の タイムライン
- 22. 危機管理本部 演習課題書(シナリオX) 21 【設 問】 Q1.危機管理本部設置要件、本部体制、命令系統、関係組織への初動報告、公表等の 初動対処要領? (1)初動対応段階 11:00 状況⑤ [調査結果] ・基幹システム側に不正侵入・ 漏えいの痕跡は確認できない。 ・地域連携開示サブシステムか ら漏洩! 基幹システム ベンダーA社 △月△日10:00 状況①[通報] 患者情報の漏えい 内閣サイバーセキュリティセンター [調査依頼] 11:10 状況⑥[指示] ・医療連携開示サブシステムの停止! ・病院情報システムを切り離し! ファシリテー タが設問に 誘導
- 23. 演習課題書(シナリオX) 22 (2)所管官庁等対応段階 【設 問】 Q2.漏えい情報の内容を確認する手段? Q3.サイバー事案関連所管等からの過剰な調査要請への対応? Q4.患者本人への対応、報道機関対応要領? Q5.複数関係組織からの錯綜的な状況報告指示への対応? Q6.府警への被害届提出? 厚労省 情参室 新聞社 地域連携 ベンダー C社 13:45 状況⑨[クレーム] 複数関係 組織等 16:00~ 状況⑪[催促] 継続報告の催促 14:30 状況⑩[調査結果] 半年前に標的型メール! 13:10 状況⑧ [依頼] 取材依頼 14:30 状況⑩[調査結果] 医療連携端末にバックドア確認患 者 情報 システム室 危機管理本部 11:20 状況⑦ [要請] 全システム調査要請! ファシリテー タが設問に 誘導
- 24. 事前配布 演習資料の事前配布 23 ■ 机上演習開催日の約3週間前。 ■ 参加する病院職員(プレイヤ)に事前配布。 ■ 演習資料を読み込み、演習課題書の設問に対する個人案を持って机上演 習に参加して頂くように案内した。 演習課題書 [シナリオY] 演習課題書 [シナリオX] 内外環境設定書 演習実施計画書 P42 P6 P6 P6
- 25. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 24 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 26. 机上演習試行 25 ■ご賛同ご協力病院9病院の内、3病院から計6名(企画部門2名、管理部門4名)の職員ご参加 ■「参加したいが、たとえ、土曜日でも万が一の為に医療の現場を離れたくない。」とのお声も有り。 ⅰ.場 所:リファレンス 大阪駅前第 4 ビル 23F 貸会議室 No.2301 ⅱ.日 時:2019 年 2 月 16 日(土) 13:30~(13:15 受付開始) 13:30~13:40 ご挨拶(当協会近畿地区協議会 代表 吉田隆志) 13:40~13:55 机上演習の概要説明(講師 岡谷貢氏) 第1部 シナリオY(講師 岡谷貢氏) 13:55~14:15 演習説明 14:15~15:15 グループ検討 15:15~15:30 グループ発表 (休憩 10 分) 第2部 シナリオX(発起人 小川敏治、オブザーバー 茗原秀幸氏) 15:40~16:00 演習説明 16:00~17:30 グループ検討 17:30~17:45 グループ発表 17:45~18:00 解説(シナリオXのテクニカル部分)
- 27. 第2部 シナリオX 26 ファシリテータ(発起人 小川、オブザーバー 茗原氏)の誘導によりロールプレイング プレイヤ 情報システ ム室長 プレイヤ 事務部長 (発表者) プレイヤ 副院長 危機管理本部長 プレイヤ 広報室長 (記録係) 発起人 小川 オブザーバー 茗原氏 ファシリテータ(状況付与と議論コントロール) プレイヤ以外の役職及び外部関係者はファシリテータが模擬 プレイヤ 医療連携室長 ■ ファシリテータにより、気づかせ、誘導しながらロールプレイング。 ( 事 例 ) 【危機管理本部長】危機管理本 部で検討した結果、患者情報漏 えい事案の第一報をホームペー ジで公開することに決めたので すが、よろしいでしょうか? 院内だけで決めることができない事 案だと気づかせ、外部関係機関との 連携をとるように誘導。 【院長】地域医療連携に係る事案 だが、地域医療連携センター(地 域医療連携協議会)との合意はと れているのか?
- 29. 発表(シナリオX) 28 ■ USBの紛失という物理的な物の漏えいではなく、情報ネット ワーク経由の漏えいだったので、何故、漏れたのか、患者 情報の何が何件漏れたのかなど、漏えいデータの確認方法 や手段等がわからず、初動対応に苦慮した。 ■ また、その原因が標的型メールであったことなど、因果関係 が見えにくいことがサイバー攻撃によるリスク特性であるこ とがわかった。 ■それぞれの段階での問題点 ① 報告すべき所管官庁への報告の仕方やタイミング、報告内容(レベル感)などの報告手順が 不明確で対応に手間取った。 ② 関連組織との連携の方法や内容が具体的にどうすれば良いかわからず、効率よく連携出来な かった。 「これらの問題点の気づきに基づいて、現状の個人情報漏えい時の組織的対応ルールや 体制を見直せば良いことがわかった。」と発表を締めくくった。
- 30. 病院管理者向け サイバーセキュリティ机上演習シナリオの開発 29 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
- 31. ■ 参加した病院職員の声 ○ 実際の場面が設定されたことで問題点や課題が具体的に洗い出された。 ○ 演習での「気づき」を自病院に持ち帰り、サイバー攻撃に対する被害拡大 防止や迅速な復旧への応用・展開、BCP(業務改善計画)の見直しにつな げたい。 ■ 本演習の満足度100%と予想以上の結果となり、本演習の有効性が確認 出来た。 4.まとめ 30 Q1-1. サイバー攻撃の特性に関 する「気づき」が得られまし たか? Q1-2. 院内検討に資すると評 価しますか?
- 33. 医療機関をめぐるサイバーセキュリティへの関心が非常に高まっていること を示すように、NHK大阪放送局が「第1部 シナリオY」の様子を密着取材。 当日18:45~ NHK 関西ローカルニュースで放映! NHKニュースで放映! 32 NHK撮影スタッフ