「JIN-CSIRT」の発足から2年、見えてきた運用上の課題
「CSIRT」はコンピューターセキュリティに関する事故対応チームとして組織内で横断的に連携し、組織外への窓口ともなる組織だ。順天堂でも「JIN(仁)-CSIRT」と名付け、2022年11月に発足。2022年12月には、日本シーサート協議会(NCA)にも加盟した。
役割として、インシデント対応においては、学内における報告窓口としてインシデント発生時の優先度判断や原因究明、早期復旧などを担い、外部機関との連絡窓口、最高情報責任者への報告、対策に関する意思決定の支援などを行う。また、インシデント発生時の対応フローの策定、セキュリティソフトの導入・管理などの対策をはじめ、学内向けの研修・訓練、注意喚起などのセキュリティ教育にも対応する。現在は3名体制だが、今後拡充をしていきながら情報センター本部下に配置される予定だ。
なお、講演では、JIN-CSIRTの活動として、次のようなことが紹介された。
- サイバー保険の加入(2021年2月に加入。アセスメント内容や料金の検討に約4年を要した)
- 日本シーサート協会(NCA)への加入、ワーキンググループへの参加(2022年12月〜)
- 附属病院でのサイバー攻撃机上訓練(2023年8月実施)
- DDOS攻撃の文科省への報告
- 文科省、厚労省、警視庁からのアンケートなどの回答、意見交換
また、本郷地区情報センターとしては次のような活動も行っている。
- セキュリティ講習会
- フィッシングメール訓練(毎年)
- 本郷地区のリモートメンテナンス回線集約化(2020年9月)
- 各施設のリモートメンテナンス回線の確認実施(2021年7月確認)
- EDR(サイバーリーズン)のインターネット系端末への適応
- 医療情報システム停止訓練(毎年)
とりわけ医療情報システムの停止訓練は、大学病院という大きな組織で毎年行うことは負荷が大きく、綿密な準備が求められるとも話す。
また、サイバーセキュリティ対策として、学内LANにはID/パスワード認証など、一般的な対策を講じており、医療LANについてはネットワーク環境を分離。コンピューターウイルス対策ソフトを入れた上でUSB利用制限を設けるなど、多層防御を意識して実施している。
現在は、医療情報システムについて、電子カルテ端末のWindowsアップデートに取り組んでいる最中だという。複数のリモートメンテナンス回線を統合したり、申請のないリモートアクセスを監視したりと対策を拡充させている。
当初、5ヵ年計画でのロードマップを策定し、進行する予定だったが、その難しさをフェーズ1で認識。まずは、電子カルテが導入されている5病院から取り組みを進める方針に舵を切り、2024年2月に準備を始め、同年8月末までに机上訓練を完了させた。
杉村氏は「事前ヒアリングの時点では“温度感”を感じていたが、現場へと出向いてヒアリングさせてもらうと、少しずつ整備されていることがわかった」と語る。その上で、初動対応体制やフロー、役割が一定明確化されながらも属人的になっていること、そして病院間と情報センター本部、JIN-CSIRTとの連携基準が十分でない点が課題だとした。
さらに、杉村氏は「そうした課題を再認識できたことで、権限委譲の仕組みづくり、JIN-CSIRTの組織としての地位、規定なども考える必要がある。5年前からCISO(Chief Information Security Officer)の設置については必要性を訴えているが、人材確保ができていない状況だ」と明かす。加えて、システム停止訓練で本郷地区情報センターに本来の業務以外にも手間がかかっていること、JIN-CSIRTも含めた医療情報システムのセキュリティ第三者評価を9〜10月に予定していることなども紹介された。
