H3-MoM_H³ 第24回:医療情報セキュリティ超入門_20190718
************************以下************************
written by ryosukick.icon
2019年7月18日(木)19:00-21:00 @ 日本橋ライフサイエンスビルディング
(医療情報セキュリティ超入門)
https://gyazo.com/d73082a050b1a9d9736fc03fc94be09d
【講師】
【概要】
山寺さん自己紹介
Key Question 「あなたのセキュリティ大丈夫ですか?」
山寺さん自身の回答は、Noとしか言えない
Mindset
「弊社に任せて頂ければ100%安全ですよ」 ←確実に嘘つきだが、セキュリティ営業には強い
「申し訳ありませんが、この部分のみしか保証しかねます」 ←誠実だが、セキュリティ営業には弱い
トレードオフは?許容範囲は?コストや事業継続性などを天秤
9.11テロの後に飛行機のセキュリティは厳しくなった。そのトレードオフとして、行列ができるようになった
出された水を素直に呑むか、毒があると疑うか
衛りたいものはなんですか?
女性下着メーカーがユーザー情報を漏洩したことがあったが、その際の顧客価値の毀損は著しいものがあった
Offensive vs Defensive
攻撃者の視点を持つことがセキュリティ構築上きわめて重要 防衛者(情報システム管理者等)は非日常であるセキュリティアタックに網羅的に対応することが極めて難しい 攻撃者は一つの穴さえ作れれば勝ち。防衛者は一つでも穴を作られたら負け。ゲームが違う
攻撃者の視点を学びたければ、ハッキングの大会などもあったりする
「こんなの使ってる人いない」「いても自己責任だ」とシステム管理者側は思いがち
最近みたことがある事例でも、古い医療機器にEmbededされている昔のWindows/Linuxが、院内にインターネット環境がないことからOSの自動アップデートが動かず、機能を停止させてしまう/セキュリティホールをハックされてしまうリスクが見受けられた。 医療機器メーカーの人には「この医療機器、OS何はいってんの?」って聞いてみると良い。
IoT is "Internet of Theread"
IoTが浸透するなかで、セキュリティ界隈で議論されたフレーズ 端末自体が複数・複雑化していくなかで、管理しきれないセキュリティリスクが増えていく
米国のハッキングカンファレンスであるDEF CONでもWebカメラのセキュリティ脆弱性を明快に説明した事例が紹介されていた。中古PC/スマホ/Webカメラになかに残留しているセキュリティホールを狙うことも可能。 Cloud First, Myth of AWS
「クラウドに乗っけたら安全」「AWSなら大丈夫」という神話
AWSのIaaSレベルのセキュリティは堅牢でも、しっかり管理しないとオンプレミスと同じようなリスクがある チャットアプリ・・・?
某グローバルチャットアプリでも落ちるリスクはある。また、扱ったファイルはサーバに残り続け消せないリスクもある。
Myth of SSL: http vs https https:// の方が安全だが、以降のURLがよくみたら「Kimura」が「K1mura」になっていないかというリスクはある
Googleは「Gooogle」でも「Gooooogle」でもGoogleにリダイレクトされるように設定されている。
公衆無線LANは基本的に極めて危険。安全なVPNを介したインターネット通信を使いましょう。 セキュリティ予算の7割くらいがネットワークやOS部分に使われている。
実際は7割はアプリケーションレイヤーの攻撃が多く、対応にはWAFを入れる必要がある。
近年Web Applicationが増えており、ここのリスクが極めて高い。
セキュリティ界隈の人が、いまも多くの仕事をできている理由と言われるほどセキュリティ的には脆弱なCMS 編集しやすいことのトレードオフとして、かなりセキュリティ的にはゆるい
具体的には、Wordpressの管理画面をURLでググると死ぬほど他社サイトのログイン画面が出てきます。。。
本来は管理画面などはIP制御などをかけて、アクセスできないようにすべきページ 大量に入れていくプラグインがまた曲者。製作者が会社だったり、個人だったりするので、脆弱性が出たとしても後者の場合にはセキュリティの脆弱性がかなり高くなっていく
米国の医療機関でもサイバーアタックの被害が増えている。
Anthem:8,000万件の患者データ流出。暗号化すらちゃんとできていなかった。1.15億USDの集団訴訟事案に。 医療情報は機微情報が多く、クレジットカード情報よりも高値で取引されている。
米国会計検査院(Government of Accountability Office)が定期的に発表しているリスクレポート
Supply Chain:インシュリンポンプ等の体内組込式の侵襲性の高い医療機器のセキュリティに関する危険性がGAO Reportで指摘されていたが、この問題をミス押されていた。元々St.Jude社の製品、Abbott Laboratoriesが買収しており、その後にセキュリティの脆弱性を指摘され、ペースメーカー46万台のリコールを行った LOL "Blockchain is New Candy for Hackers"
Is AI Always Right?
AIは最初に決めたものよりも後々変わっていく。学習済みモデルで再学習する蒸留モデルのパフォーマンスが当初のモデルよりも常に正しいとは限らない。 手術ロボット
利用規約ではデータの持ち主は患者でも、医師でも、医療機関でもなく、メーカーになっている
アクセスしたければ利用料を払う必要があるとされている。
ほとんどはメールから
このサイトは多分大丈夫。ただ、この手のサイトは逆に情報流出リスクあるかも
アンチウィルスでも防げないマルウェアもある。普段動かないが、実はこっそり外部にデータ移してる場合もある いつのまにか第三者に漏洩している
自分のウェブサイトは堅牢なセキュリティだとしても、閲覧先の会社のサイトが脆弱であれば、閲覧先にマルウェアを仕込んで侵入経路を作ることはある。
Webサービスは通常多重化をしているが、DNSは2個か3個しかつくっていないので、そこを狙われる攻撃
CaaS:Cyber Attack as a Service 他社サイトを攻撃するようなサービスすら世の中には存在する。。。
目立たないように仮想通貨のマイニングリソースに自社サーバーを勝手に使われるような方法はある
別名・親父ゴロシ。オレオレ詐欺的な方法でパスワードを聞き出す。
人の名前のついた落としておいて、確認のために指すとマルウェア侵入するUSB
Bring your own device。基本的にはきちんと管理すれば大丈夫。
世界的にみても、日本で非常に多い手法。ホテルのWifiネットワーク脆弱性を使ったハッキング手法
IPAから毎年発表されている。一般の人も一年に一回はみてほしい、良質な情報
同じものを使い回すのは絶対ダメ、定期的に更新するのもほぼ不可能。
閉じられたネットワーク・・・真夏の怪談
Law & Regulation
笹原 英司さんの記事/書籍が極めて詳しい。彼の記事をちゃんとフォローするのが一番わかり易い 医療セキュリティハッカソン
24時間以内にあの手この手でハックできてしまった。。。
攻撃社の視点から見て動く
プロダクト開発の初期段階からセキュリティエンジニアを入れて開発するという考え方
初期に対応するコストよりも、セキュリティ事案発生後の対応コストは100倍高いと言われる
多重防御
セキュリティは0か1じゃない
出るものとそうでないものを明確に分ける必要がある
初動の重要性
問題発生時はメディア対応ポリシーも大事
経営者の対応意識も大事
サイバーセキュリティの防衛術に関する大会
技術的なことだけでなく、経営者側の謝罪会見の練習までやる
【Q&A】
Q. 攻撃者の視点って、どこでハッカーの人って学んでるんでしょうか?
A. どこなんでしょうw?ただ自分が攻撃されて悔しい思いをした方や、学ぶより独学という人も多いですが、セキュリティキャンプやCTFやHARDENINGなどのセキュリティ関係のイベントも多くなってきたのでそういう場所で学ぶのがいいかと思います。
Q. AWS / GCP/ AzureはみんなHIPPA対応で医療情報セキュリティ大丈夫と謳ってますが、ご紹介いただいた医療機関の情報漏えい事案でこれらのIaaS使ってる先もあったんでしょうか? A. クラウドサービスであっても正しい設定と管理をしないとリスクは全く同じです。
Q. 電カルなど多くのHIS(病院情報システム)は院内ネットワークのみに接続されて外部ネットワークからはアクセスできないようになっていますが、医師がsummaryを書くのは自分のPCだったりするので、USB・写メ(禁止されてるが、している人は多い)で携帯してます。これってどのくらいセキュアなのか甚だ疑問です。どう思いますか? A. それ全然セキュアじゃ無いですねw 逆に外部に繋がってないから安心と過信して余計に危なそうです。
Q. 山寺さんオススメのパスワード管理ツールってありますか?
A. 自分でコードが読める人ならオープンソースのものがいいかもしれません。そうで無い人は有償のソフトの方がいいかもしれません。ただより高い物はないので。
Q. セキュリティの検定って、どんな方法でやるんですか?そういうロボットがあるんですか?
A. 検定は人が採点すると思います。CTFとかはCyber Ground Challengeっていうbot同士で戦わせる競技はあるかと思います。
Q. 導入検討時や買収時のデューデリで、機器を含めたプロダクトのセキュリティーまでを確認するのは非常に困難だと思いますが、実際的にはどのような対応をすべきでしょうか?
A. 開発元に、製品に関してどのようにセキュリティ対策をしていましたかとの質問や、セキュアコーディングしていたか?また完全なセキュリティはないのでどのくらい情報開示しているか、またはバグバウンティプログラムなどをやっているところは一般的にセキュリティは高いかと思います。
Q. WordPressよりもセキュアなサイトを自前で作る自信がないからWordPress使っている会社が多そうな印象です。
A. 便利な点もあるのできちんと管理すればいいと思います。そもそも静的なページでいいのに無理やり動的なサイトにしている感じがもするケースが多いので、本当にそのページは静的なページじゃダメなのか再度考えてみるのもいいと思います。それだけでもセキュリティリスクは下がるかと思います。
Q. 山寺さんが、日本の医療機関向けのクラウドサービス(SaaS)を提供しようと思ったとき、どのようなシステム構成/セキュリティ構成を考えますか? 顧客である病院側のオンプレミス神話は一旦おいておいて、技術的に・ガイドライン的に説明可能なシステム構成とはどのようなものか気になります A. 私でしたらAWSなどのクラウドでオープンソース系のOSを使います。完全なシステムは無いので、
Q. 先ほどのとあるん手術用ロボットのデータはその開発会社のものという内容について詳しく教えてください。 患者様への同意説明書を見ていると、情報は患者様のもので 院内倫理審査を通った上でデータの二次利用のため匿名化した上での活用のみ病院側で可能と受け取れると思うのですが・・・ 患者情報をベンダのものに出来るのでしょうか。
A. ベンダはビックデータが欲しいだけど患者個人の情報は興味は全く無いと思います。
Q. 私もLinkedIn経由でメアドとパスワードが漏れ、その後そのメールアドレス宛に、「あなたのパスワードを知っています。消してほしければ〇〇円振り込んでください」的なメールが日本語、英語含め、大量に届くようになりました。
A. 大変ですねw もしパスワード使いまわしているサイトがあればすぐにでも別々なものに変えてください。振込はしないでください。
Q. とある手術用ロボットの利用規約びっくりしました。。。なんで医療機関はそんな規約を飲んでるんですかね?メーカーからのワイロ?
A. 他に競合がなかったからじゃないですかね?あとは21世紀はデータが一番大事ってことに気づいてないからだと思います。
Q. BYODは3省3ガイドライン上、アウトだった認識があるのですが 運用上は問題ないのですか。 A. その常識がすでに古いと思います。自分のスマホより会社支給の物は大事にしないですよね?あとは2台に増えるということはそれだけリスクも増えるので、BYODをしっかり管理した方がいいと思います。
Q. お勧めパスワード管理サイトをおしえてもらえますか?
A. 自分でコードが読める人ならオープンソースのものがいいかもしれません。そうで無い人は有償のソフトの方がいいかもしれません。ただより高い物はないので。
Q. IoT化、医療現場間の情報共有など、セキュアに管理することと逆行するようなトレンドの中、特にセキュリティにうるさい医療ではどこらへんが落としどころだと思いますか?
A. セキュアに情報共有すべきと思います。落とし所はトレードオフがどこまでできるかで決まると思います。