2.pdf

Transcript

1. 今日から考えるサイバーセキュリティ のぞみ整形外科クリニック西条 放射線科 村上 一彦

2. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

3. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

4. サイバーセキュリティとは 一般的には ・情報の機密性 ・完全性 ・可用性 を確保することと定義されています。

5. サイバー攻撃と私たちの関係 答えは「関係があります」。 サイバーセキュリティは私たちに関係あると思いますか？ パソコンやタブレット，スマホなどを使用して 日常的にインターネットにアクセスする私たちは 常にサイバー攻撃にあう能性があり 常にセキュリティを考えておく必要があります。

6. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

7. サイバー攻撃とはどのようなものと考えていますか？ サイバー攻撃とは インターネットなどのネットワークを介して サーバーやパソコン，スマホなどに対して 金銭や個人情報を盗んだり システムの機能を停止させたりすることを 目的とした攻撃を行うことです。

8. 誰がサイバー攻撃を行うのか ・ものすごいハッカーが行っている。 サーバー攻撃を行っているのは誰だと思いますか？ ・高技術の技術者集団が行っている。 本当にそうでしょうか？

9. 誰がサイバー攻撃を行うのか もちろんプロのケースもありますが、 最近ではプロハッカー自身がウイルスに 感染させて利益を上げるのではなく 作成したウイルスプログラムを 一般人に販売して利益を上げており 一般人が購入したウイルスを使用して ハッカーとして活動している ケースが増えてきています。

10. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

11. 感染経路は？ では、どのような経路で感染が起きるのでしょうか？ ウイルスを感染させるのに難しい手段は必要ありません。 パソコンやタブレット，スマホでインターネットに アクセスする誰もが感染に関わる可能性があります。

12. 感染経路は？ たとえば、 ・メールに添付されたファイルを開封させる ・メールに記載されていたアドレスをクリックさせる ・サイトに掲載されている写真の上をマウスが通る などといった何気ない行動でウイルスに感染することが あると言われています。

13. その他の感染経路 ほかにも、サポート詐欺と言われるものがあります。 WindowsやMicrosoftなどが表示しているように見える 「サポートが必要なのでクリックしてください」 といった画面を表示させクリックした者のＰＣに ウイルスを感染させる。 場合によっては 「ウイルスに感染しているから処置が必要です」 「速度が落ちています」 といった画面表示が出てくる場合もあります。

14. 特に問題となるウイルス 最近特に問題になっているウイルスが ランサムウエアと呼ばれるウイルスです。 ランサムとは身代金を要求するという意味です。

15. ランサムウエアに感染すると ランサムウエアに感染すると PCが動かなくなったり全データ （写真・動画・エクセル・ワードなど全て） が暗号化されて開けなくなります。 暗号化を解除してほしければ身代金を払えと 要求してきますが払ったからと言って確実に 暗号化が解除されるわけではありません。

16. クリニック内のPCが感染すると ウイルスに感染すると電子カルテ内のデータが 暗号化され使用できなくなりデータ復旧まで ⾧期間（場合によっては数か月以上） 診療ができなくなる可能性があります。 また、患者さんの個人情報データが流失すると データは復旧したとしても患者さんへの 賠償などが必要となる可能性があります。

17. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

18. セキュリティ対策って何をすればいいの？ ではどのようにしてセキュリティ対策を すればいいのでしょうか。 ⇒まずはリスクを知ることが大切です

19. こんな経験はありませんか？ ・ネット閲覧中に見慣れない画面やメッセージが出た ・メールに記載されていたサイトにアクセスした ・メールの添付ファイルを開いた ・USB，SDカードをパソコンに接続した ・写真を取り込むためスマホをパソコンに接続した これはすべてウイルスに感染する可能性を秘めています。 みなさんも今後、業務中に経験するかもしれません。

20. 対策は？ このような場合の対策としては ・仕事に関係ないサイトは見ない ・おかしいな？と思ったら組織内の相談先へ連絡する ・外部の人に情報を出す際は確認を などが挙げられるでしょうか。

21. 仕事を自宅に持ち帰り作業をするのは「リスク」 心当たりがないでしょうか？ 自宅に持ち帰り患者さんに関する書類を作成するなど。 この場合のリスクは ・個人情報の入ったUSBの紛失 ・持ち出した患者情報が盗難もしくは流出 となります。 実際に生徒の個人情報をUSBに入れて持ち帰った教師が 車上荒らしにカバンを盗まれUSBを紛失した。 というケースもあります。

22. 対策は？ このようなケースの対策としては ・データを勝手に持ち出さない ということになります。 紛失や盗難だけでなくUSBを使用することで 自宅PCから職場PCにウイルスを持ち込む 可能性もあります。

23. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

24. カルテ情報の流失を気にしたことはありますか？ 業務外で関係がない患者のカルテを閲覧していた。 これはリスクになります。 ⇒社員が業務に関係ない患者のカルテの画面を スマホで撮影しSNSにアップしたことで個人情報が 流出し罪に問われたという事例もあります。 患者さんの情報は個人情報であり個人情報保護法にて 守られています。 業務上で知りえた情報を目的以外に使用することは 罪に問われることもあります。

25. このケースの予防対策は？ ・離席するときはＰＣの画面をロックして他人がカルテを 見れないようにする。 ・ＳＮＳなどに患者さんの事を書き込まない。 （当然ではありますが・・・） などが挙げられます。

26. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

27. リスクを管理する リスクの影響度が大きければ小さくするようにする 頻度が多いのであれば頻度が少なくなるようにする ⇒ただしリスクは対策をしてもなくなるものではない 当院で考えられるリスクを考えましょう

28. 当院でのリスクは？ ・業務中のWeb閲覧（業務と関係ないサイトの閲覧） ・ソフトやデータのダウンロード，インストール ・USB，SDカード，CD-ROM，DVD-ROMの使用 ・自宅にデータを持ち帰り作業を行う ・院内ネットワークへのスマホの接続 ・他院からの画像データの取り込み ・メールの送受信，リンクのクリック

29. 業務中のWeb閲覧（業務と関係ないサイトの閲覧） 業務中のWeb閲覧（業務と関係ないサイトの閲覧） することでウイルスに感染する可能性があります。 基本的にはルーターで防御してくれますが 未知のウイルスは防げないため100％ではありません。 正規のサイトに見せかけた作りをしている 偽サイトも多いため注意が必要です。

30. ソフトやデータのダウンロード，インストール 公式というか正規のサイトからダウンロードした ソフトのインストールは基本的に問題ないですが そうでないサイトからダウンロードしたソフトの中に ウイルスが混入しているケースがあります。 基本的にはルーターがウイルスを除去してくれますが 100％ではないため、正規のサイト以外からの ソフトのダウンロードは控えるようにしましょう。

31. USB，SDカード，CD-ROM，DVD-ROMの使用 USB，SDカード，CD-ROM，DVD-ROMを開いた際 万が一ウイルスが混入しているとウイルスに感染する 可能性があります。 基本的には事前にウイルスチェックをして使用する。 また、Windowsの自動再生設定をOFFにしておくと ウイルスチェック前にウイルスに感染することを 予防してくれます。

32. メールの送受信，リンクのクリック 個人情報をメールで送信する際には、 送信先に間違いがないかしっかりチェックしましょう。 身に覚えのないメール、不審なメールに 記載されているリンクや添付ファイルは触らない。 すぐに削除する。 身に覚えのないメール、不審なメールが届いたら 迷惑メールに設定し今後受診しないようにするほうが オススメです。

33. 自宅にデータを持ち帰り作業を行う USBなどで自宅・職場間でデータの移動をすることは 自宅PC・職場PC共にウイルス感染の原因になります。 ウイルスだけではなく外部メディアの紛失・盗難で 個人情報が流出する可能性も高まります。 自宅にデータを持ち帰ることはリスクしかありません。 どうしてもの場合はメールでデータを送信しておく オンライン上の共有ドライブを使用するなど検討

34. 院内ネットワークへのスマホの接続 休憩室などで院内ネットワークにスマホを接続すると スマホがウイルス感染していた場合 院内ネットワークにウイルスが侵入する可能性が あります。 現状で休憩室のWifi接続を禁止することは困難なので スマホ側での対策は困難。 全てのWindowsUpdateを実施した状態にし Defenderも最新にするなどしてPC側で防御する。

35. 他院からの画像データの取り込み 放射線科特有の事例ではありますが 紹介で持参されたROMにウイルスが混入していることが まれにあります。 総合病院などのROM（患者名や検査名，画像枚数など） がプリントされているメディアは基本的にPACSで 作成されているので安全です。 当院のように一部でも手書で記載があるROMは 事前にウイルスチェックして取り込みましょう。

36. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

37. 主なウイルス感染経路 ・インターネット上からの感染 ・Web上からのデータの ・外部メディアのからの感染 ・VPNからの感染（アイソルなどのリモート接続回線 ・ウイルスメールからの感染 ・自宅PCからの感染 ・スマホからの感染

38. 初期侵入に成功すると ・辞書攻撃（パスワード解析） ・ネットワーク調査（存在するIPアドレスの確認） ・組み込み管理者のパスワードを窃取 （administrator権限を奪取し攻撃する） ・ウイルス対策ソフトの停止 ・バックアップの保管場所の調査 ・水平転換（サーバーへの侵入）とデータの暗号化

39. 私たちに出来る対策 ・FW，Windows DefenderをON ・Windows Update，FW，Defenderを常に最新 ・外部メディアの自動再生はOFF ・ロックアウト設定を使用し不正アクセスを予防 ・管理者権限を持ったアカウントは通常使用しない ・管理者アカウントは12文字以上のユニークパスワード ・外部メディアはウイルスチェックをしてから使用する

40. 本日のアジェンダ ・サイバーセキュリティという言葉はご存じですか？ ・サイバー攻撃とはどのようなものと考えていますか？ ・感染経路は？ ・セキュリティ対策って何をすればいいの？ ・カルテ情報の流失を気にしたことはありますか？ ・リスクを管理する ・私たちに出来る事 ・アウェアネスを高めよう

41. アウェアネスとは ある事象における気づき，認識することです。 ・事象にフォーカス ・技術的要素は薄い ・気づきを得る体験

42. リスクを認識しリスクに気が付けるように 見えないリスクには対応できません。 ⇒でもそれはほんとに見えませんか？ 見えないのではなく 見えていない（気が付いていない） のかもしれません。

43. リスクに気づきリスクを意識することが大切 ・リスクを意識する ・意識させるための工夫を行う ・継続的に意識させる取り組みを行う

44. 以上となります。