第557号コラム:舟橋 信 理事(株式会社FRONTEO 取締役、株式会社セキュリティ工学研究所 取締役)
題:「医療分野の情報共有分析センター、H-ISAC JAPANの設立について」
本コラムでは、ISAC(Information Sharing and Analysis Center)に関する一般社団法人メディカルITセキュリティフォーラム(以下「MITSF」という)の最近の取組をご紹介したい。
ISACのはじまりは、米国の重要インフラ保護に関する 1998年の大統領令PDP63を基に設立された業界別の会員組織である。ISACは、規制当局との距離は様々であるが、基本的に民間ベースで運営されている。ISACは、会員相互の情報交換、インシデントに対する共同対処、脆弱性・脅威・インシデントに関する情報共有、会員に対する教育などを行っている。現在、MITSFの会員には、米国H-ISAC(Health-ISAC)から毎日配布されるインテリジェンス・レポートの一部(情報共有範囲「GREEN」)を日本語訳のうえ試験的に配布している。
近年のサイバー攻撃の激化や東京オリンピック・パラリンピックに向けて、重要インフラのサイバーセキュリティ対策の強化が官民において推進されている。
昨年4月には、政府のサイバーセキュリティ戦略本部により「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」が作成された。同指針において「情報セキュリティ対策の運用、導入」の項目の一つとして「分野専門性の高い情報共有活動への参加」がうたわれており、「ISAC等の分野専門性の高い情報共有活動に参加し、その中で収集した情報を日々のリスク対応で活用する。」(同指針18頁)ことが示されている。
MITSFは、医療機関・医療従事者に情報セキュリティの重要性を啓発することを目的として2013年に設立された団体であるが、これまで医療分野における情報セキュリティに対する課題に関して、セミナーを13回開催し、また、「医療分野における『データダイオード』の適用に関する提言」や、IDFとの合同委員会にて「『医療情報システムの安全管理に関するガイドライン』対応のための手引き」を策定するなどの活動を行ってきた。
昨年4月からは、医療機関へのサイバー攻撃の激化に対処するため個別医療機関へのインシデントを各医療機関にフィードバックして啓発を図る必要があること、「官民が連携し、迅速な情報集約・分析、効果的な対策の共有を行う情報連携体制を構築することにより、サイバー攻撃の被害、および被害拡大を防止する」という政府方針の受け皿が必要(改正サイバーセキュリティ基本法に基づく「サイバーセキュリティ協議会」)であることなどから、医療ISACの設立を目的としてMITSF内に「医療ISAC検討分科会」を設置し、ISAC発祥の地の米国の事例、国内事例(金融ISAC・ICT-ISAC)の調査、各方面の意見収集などを行った。この間、MITSFと米国H-ISACとの業務提携について合意がなされ、また、国内大手製薬企業で構成する「製薬業界サイバーセキュリティ担当者会議」とも連携も行うこととし、本年2月9日に3者による提携記念セミナーを開催したところである。
現在、関係機関の方々をメンバーとするH-ISAC JAPAN COUNCILの立ち上げを準備中である。
【著作権は、舟橋氏に属します】