H3-MoM_H³ 第24回：医療情報セキュリティ超入門_20190718

#MoM #H3-MoM #医療倫理/医療情報セキュリティ

************************以下************************

written by ryosukick.icon

2019年7月18日（木）19:00-21:00 @ 日本橋ライフサイエンスビルディング

（医療情報セキュリティ超入門）

https://gyazo.com/d73082a050b1a9d9736fc03fc94be09d

【講師】

■講師：山寺純　

株式会社Eyes, JAPAN　代表取締役チーフ・カオス・オフィサー

1968年、福島県会津若松市生まれ。1993年、日本で初めてのコンピュータサイエンスの単科大学である会津大学の事務局で通訳翻訳員として働き、インターネットに出会う。その後1995年に大学生と会津大学初のスタートアップ企業として「魔法と区別がつかない優れた技術を創造する」をビジョンに「あいづ・ジャパン」を創業し、以来、ウェブサイトの構築やモーションキャプチャを使った医療動作解析やCG制作のみならず、VR, AR, ロボティクス、ヘルスケア、セキュリティなど先進的なプロジェクトを多数手掛けてる。2012年にはチームがロシアのハッキングコンテストであるPhDays 2012のCTFで日本人としては初めて9位入賞、また日本で初めての医療ハッカソンを開催（のちにセキュリティ/IoT/バイオ分野へ拡大）、2013年には、アメリカ・シリコンバレーで行われた「Health 2.0」のハッカソン、デベロッパーチャレンジに日本代表として参加し、優勝。世界各国の77地区の代表チームの頂点に立つ。また日本で行われたWebセキュリティの大会OWASP Hardening One Remix 2013優勝、2015年TEDxKobeスピーカーでもあり、今まで累計で200名以上の優秀な人材を輩出している。Health 2.0 Fukushima Chapter主催/リーダー。

【概要】

山寺さん自己紹介

Key Question 「あなたのセキュリティ大丈夫ですか？」

山寺さん自身の回答は、Noとしか言えない

Mindset

「弊社に任せて頂ければ100%安全ですよ」 ←確実に嘘つきだが、セキュリティ営業には強い

「申し訳ありませんが、この部分のみしか保証しかねます」　←誠実だが、セキュリティ営業には弱い

トレードオフは？許容範囲は？コストや事業継続性などを天秤

9.11テロの後に飛行機のセキュリティは厳しくなった。そのトレードオフとして、行列ができるようになった

出された水を素直に呑むか、毒があると疑うか

衛りたいものはなんですか？

女性下着メーカーがユーザー情報を漏洩したことがあったが、その際の顧客価値の毀損は著しいものがあった

Offensive vs Defensive

攻撃者の視点を持つことがセキュリティ構築上きわめて重要

防衛者（情報システム管理者等）は非日常であるセキュリティアタックに網羅的に対応することが極めて難しい

攻撃者は一つの穴さえ作れれば勝ち。防衛者は一つでも穴を作られたら負け。ゲームが違う

攻撃者の視点を学びたければ、ハッキングの大会などもあったりする

Windows XP？ご冗談を（笑）

サポートとっくに切れているWindows OS

「こんなの使ってる人いない」「いても自己責任だ」とシステム管理者側は思いがち

最近みたことがある事例でも、古い医療機器にEmbededされている昔のWindows/Linuxが、院内にインターネット環境がないことからOSの自動アップデートが動かず、機能を停止させてしまう/セキュリティホールをハックされてしまうリスクが見受けられた。

医療機器メーカーの人には「この医療機器、OS何はいってんの？」って聞いてみると良い。

IoT is "Internet of Theread"

IoTが浸透するなかで、セキュリティ界隈で議論されたフレーズ

端末自体が複数・複雑化していくなかで、管理しきれないセキュリティリスクが増えていく

米国のハッキングカンファレンスであるDEF CONでもWebカメラのセキュリティ脆弱性を明快に説明した事例が紹介されていた。中古PC/スマホ/Webカメラになかに残留しているセキュリティホールを狙うことも可能。

Cloud First, Myth of AWS

「クラウドに乗っけたら安全」「AWSなら大丈夫」という神話

AWSのIaaSレベルのセキュリティは堅牢でも、しっかり管理しないとオンプレミスと同じようなリスクがある

チャットアプリ・・・？

医療機関でもチャットアプリを使い始めている。

某グローバルチャットアプリでも落ちるリスクはある。また、扱ったファイルはサーバに残り続け消せないリスクもある。

Myth of SSL: http vs https

https:// の方が安全だが、以降のURLがよくみたら「Kimura」が「K1mura」になっていないかというリスクはある

Googleは「Gooogle」でも「Gooooogle」でもGoogleにリダイレクトされるように設定されている。

VPN

公衆無線LANは基本的に極めて危険。安全なVPNを介したインターネット通信を使いましょう。

WAF

セキュリティ予算の7割くらいがネットワークやOS部分に使われている。

実際は7割はアプリケーションレイヤーの攻撃が多く、対応にはWAFを入れる必要がある。

近年Web Applicationが増えており、ここのリスクが極めて高い。

WordPressの脆弱性

セキュリティ界隈の人が、いまも多くの仕事をできている理由と言われるほどセキュリティ的には脆弱なCMS

編集しやすいことのトレードオフとして、かなりセキュリティ的にはゆるい

具体的には、Wordpressの管理画面をURLでググると死ぬほど他社サイトのログイン画面が出てきます。。。

本来は管理画面などはIP制御などをかけて、アクセスできないようにすべきページ

大量に入れていくプラグインがまた曲者。製作者が会社だったり、個人だったりするので、脆弱性が出たとしても後者の場合にはセキュリティの脆弱性がかなり高くなっていく

Gartner「ビッグデータは21世紀の石油である」

米国の医療機関でもサイバーアタックの被害が増えている。

Anthem：8,000万件の患者データ流出。暗号化すらちゃんとできていなかった。1.15億USDの集団訴訟事案に。

TRICARE：490万件

Community Health Systems：450万件

Advocate Medical Group：403万件

Texas HHS：200万件

医療情報は機微情報が多く、クレジットカード情報よりも高値で取引されている。

GAO Report

米国会計検査院（Government of Accountability Office）が定期的に発表しているリスクレポート

Supply Chain：インシュリンポンプ等の体内組込式の侵襲性の高い医療機器のセキュリティに関する危険性がGAO Reportで指摘されていたが、この問題をミス押されていた。元々St.Jude社の製品、Abbott Laboratoriesが買収しており、その後にセキュリティの脆弱性を指摘され、ペースメーカー46万台のリコールを行った

LOL "Blockchain is New Candy for Hackers"

ブロックチェーンは確かに改竄出来ないが、ソフトウェアの脆弱性は問題である

Is AI Always Right?

AIは最初に決めたものよりも後々変わっていく。学習済みモデルで再学習する蒸留モデルのパフォーマンスが当初のモデルよりも常に正しいとは限らない。

手術ロボット

利用規約ではデータの持ち主は患者でも、医師でも、医療機関でもなく、メーカーになっている

アクセスしたければ利用料を払う必要があるとされている。

APT：標的型攻撃

ほとんどはメールから

Have I been Pawnedを使えば、Yahoo! / LinkedIn他で流出した事例があるかが分かる

Have I Been Pwned: Check if your email has been compromised in a data breach https://haveibeenpwned.com/

このサイトは多分大丈夫。ただ、この手のサイトは逆に情報流出リスクあるかも

アンチウィルスでも防げないマルウェアもある。普段動かないが、実はこっそり外部にデータ移してる場合もある

第三者攻撃（MITM)

いつのまにか第三者に漏洩している

水飲み場型攻撃

自分のウェブサイトは堅牢なセキュリティだとしても、閲覧先の会社のサイトが脆弱であれば、閲覧先にマルウェアを仕込んで侵入経路を作ることはある。

DNS水攻め攻撃（Water Torture）

Webサービスは通常多重化をしているが、DNSは2個か3個しかつくっていないので、そこを狙われる攻撃

CaaS：Cyber Attack as a Service

他社サイトを攻撃するようなサービスすら世の中には存在する。。。

Crypto Hijacking

目立たないように仮想通貨のマイニングリソースに自社サーバーを勝手に使われるような方法はある

Social Engineering

別名・親父ゴロシ。オレオレ詐欺的な方法でパスワードを聞き出す。

BAD USB

人の名前のついた落としておいて、確認のために指すとマルウェア侵入するUSB

BYOD

Bring your own device。基本的にはきちんと管理すれば大丈夫。

Dark Hotel

世界的にみても、日本で非常に多い手法。ホテルのWifiネットワーク脆弱性を使ったハッキング手法

IPA（10大脅威）

IPAから毎年発表されている。一般の人も一年に一回はみてほしい、良質な情報

情報セキュリティ10大脅威 2019：IPA 独立行政法人情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2019.html

パスワードの決め方

同じものを使い回すのは絶対ダメ、定期的に更新するのもほぼ不可能。

実際的には、パスワード管理ツールで管理するのがオススメ。

閉じられたネットワーク・・・真夏の怪談

Law & Regulation

笹原英司さんの記事/書籍が極めて詳しい。彼の記事をちゃんとフォローするのが一番わかり易い

薬機法、FDA、HIPPA、FTC、CE、GDPR。。。対応すべき法令・規則は多数ある

医療セキュリティハッカソン

Eyes, JAPANで主催しているハッカソン

24時間以内にあの手この手でハックできてしまった。。。

攻撃社の視点から見て動く

Open EMR

欧州で用いられているHIPPA対応の電子カルテにも脆弱性を見つけた。

OpenEMR https://www.open-emr.org/

Shiftleft

プロダクト開発の初期段階からセキュリティエンジニアを入れて開発するという考え方

初期に対応するコストよりも、セキュリティ事案発生後の対応コストは100倍高いと言われる

多重防御

セキュリティは0か1じゃない

出るものとそうでないものを明確に分ける必要がある

初動の重要性

問題発生時はメディア対応ポリシーも大事

経営者の対応意識も大事

7Payは他山の石。SMS認証は全然安全ではない。Authicatorアプリを使いましょう。

OWASP主催のHARDENING

サイバーセキュリティの防衛術に関する大会

技術的なことだけでなく、経営者側の謝罪会見の練習までやる

【Q&A】

Q. 攻撃者の視点って、どこでハッカーの人って学んでるんでしょうか？

A. どこなんでしょうw？ただ自分が攻撃されて悔しい思いをした方や、学ぶより独学という人も多いですが、セキュリティキャンプやCTFやHARDENINGなどのセキュリティ関係のイベントも多くなってきたのでそういう場所で学ぶのがいいかと思います。

Q. AWS / GCP/ AzureはみんなHIPPA対応で医療情報セキュリティ大丈夫と謳ってますが、ご紹介いただいた医療機関の情報漏えい事案でこれらのIaaS使ってる先もあったんでしょうか？

A. クラウドサービスであっても正しい設定と管理をしないとリスクは全く同じです。

Q. 電カルなど多くのHIS(病院情報システム)は院内ネットワークのみに接続されて外部ネットワークからはアクセスできないようになっていますが、医師がsummaryを書くのは自分のPCだったりするので、USB・写メ(禁止されてるが、している人は多い)で携帯してます。これってどのくらいセキュアなのか甚だ疑問です。どう思いますか？

A. それ全然セキュアじゃ無いですねw　逆に外部に繋がってないから安心と過信して余計に危なそうです。

Q. 山寺さんオススメのパスワード管理ツールってありますか？

A. 自分でコードが読める人ならオープンソースのものがいいかもしれません。そうで無い人は有償のソフトの方がいいかもしれません。ただより高い物はないので。

Q. セキュリティの検定って、どんな方法でやるんですか？そういうロボットがあるんですか？

A. 検定は人が採点すると思います。CTFとかはCyber Ground Challengeっていうbot同士で戦わせる競技はあるかと思います。

Q. 導入検討時や買収時のデューデリで、機器を含めたプロダクトのセキュリティーまでを確認するのは非常に困難だと思いますが、実際的にはどのような対応をすべきでしょうか？

A. 開発元に、製品に関してどのようにセキュリティ対策をしていましたかとの質問や、セキュアコーディングしていたか？また完全なセキュリティはないのでどのくらい情報開示しているか、またはバグバウンティプログラムなどをやっているところは一般的にセキュリティは高いかと思います。

Q. WordPressよりもセキュアなサイトを自前で作る自信がないからWordPress使っている会社が多そうな印象です。

A. 便利な点もあるのできちんと管理すればいいと思います。そもそも静的なページでいいのに無理やり動的なサイトにしている感じがもするケースが多いので、本当にそのページは静的なページじゃダメなのか再度考えてみるのもいいと思います。それだけでもセキュリティリスクは下がるかと思います。

Q. 山寺さんが、日本の医療機関向けのクラウドサービス（SaaS）を提供しようと思ったとき、どのようなシステム構成/セキュリティ構成を考えますか？　顧客である病院側のオンプレミス神話は一旦おいておいて、技術的に・ガイドライン的に説明可能なシステム構成とはどのようなものか気になります

A. 私でしたらAWSなどのクラウドでオープンソース系のOSを使います。完全なシステムは無いので、

Q. 先ほどのとあるん手術用ロボットのデータはその開発会社のものという内容について詳しく教えてください。患者様への同意説明書を見ていると、情報は患者様のもので院内倫理審査を通った上でデータの二次利用のため匿名化した上での活用のみ病院側で可能と受け取れると思うのですが・・・患者情報をベンダのものに出来るのでしょうか。

A. ベンダはビックデータが欲しいだけど患者個人の情報は興味は全く無いと思います。

Q. 私もLinkedIn経由でメアドとパスワードが漏れ、その後そのメールアドレス宛に、「あなたのパスワードを知っています。消してほしければ〇〇円振り込んでください」的なメールが日本語、英語含め、大量に届くようになりました。

A. 大変ですねw もしパスワード使いまわしているサイトがあればすぐにでも別々なものに変えてください。振込はしないでください。

Q. とある手術用ロボットの利用規約びっくりしました。。。なんで医療機関はそんな規約を飲んでるんですかね？メーカーからのワイロ？

A. 他に競合がなかったからじゃないですかね？あとは21世紀はデータが一番大事ってことに気づいてないからだと思います。

Q. BYODは3省3ガイドライン上、アウトだった認識があるのですが運用上は問題ないのですか。

A. その常識がすでに古いと思います。自分のスマホより会社支給の物は大事にしないですよね？あとは2台に増えるということはそれだけリスクも増えるので、BYODをしっかり管理した方がいいと思います。

Q. お勧めパスワード管理サイトをおしえてもらえますか？

Q. IoT化、医療現場間の情報共有など、セキュアに管理することと逆行するようなトレンドの中、特にセキュリティにうるさい医療ではどこらへんが落としどころだと思いますか？

A. セキュアに情報共有すべきと思います。落とし所はトレードオフがどこまでできるかで決まると思います。