Pマーク改定指針対応は大丈夫でしょうか?

Pマーク改定指針対応は大丈夫でしょうか?

1.JIPDECより解説動画が公開中

 人によっては長いゴールデンウィークが終わり、いかがお過ごしでしょうか。私は、4月のセミナーの際に風邪気味で、それ以降、体調不良が続いており、ゴールデンウィークは療養しておりました(笑)

そんな中、4月19日からJIPDECのホームページで「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠】」についての動画解説が公開されています。現時点では、J.1からJ.7までが公開済みです。PMSのMS(マネジメントシステム)部分についてですね。指針そのものを読むのが面倒な方は、まずはこちらを見てPMS独自の専門用語に慣れたり、各要求事項の趣旨や審査ポイントを理解したりすることをお勧めします。

2.MEDISの審査指針も発行

 なお、一部、医療機関等、要配慮個人情報の取扱いが多い事業者については、MEDIS(一般財団法人医療情報システム開発センター)が発行している「保健医療福祉分野のプライバシーマーク認定指針」に対応した文書改訂が必要です。こちらも第4.1版から第5版が発行されました。審査適用は同じく10月1日からの申請分になります。10月以降に更新申請を行う対象事業者は、第5版に対応した文書改訂をしておかなければいけません。

第5版の主な改正点は、

①2023年12月25日公表「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」という。)をベースとした構成の改訂と審査項目の追加・変更

 ②以下に示す保健医療福祉分野に関わる指針・ガイドラインを反映した審査項目の追加・変更

  ・医療情報システムの安全管理に関するガイドライン第6版

・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

・医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス

※主にJ.9.2.安全管理措置の”B.保健医療福祉分野としての解釈”にガイドラインの考え方を示していますとのことです。https://privacy.medis.or.jp/shishin5.html

 気になるJ.9.2の追記事項としては、

 (9)サイバーセキュリティ対策

(10)ゼロトラストネットワーク思考

3.ゼロトラストネットワーク思考

 サイバーセキュリティ対策は行政機関等における個人情報保護法のガイドラインでも明記されていますので驚くことはありませんが、「ゼロトラストネットワーク思考」は、他のガイドラインやましてISMSの規格であるJISQ27001:2023でも明記はありません。

 この点は、医療機関のランサムウェア感染による事故が多発していたことから、厚生労働省も従来のネットワーク分離という「境界防御型ネットワーク思考」では、サイバー攻撃に耐えられない現実を踏まえたものと思われます。

 MEDISの審査指針がJIPDECの審査指針と大きく異なるところは、医療情報システムを扱う端末は、インターネット接続している端末と分離した安全管理措置をとりなさいという点にありました。このネットワーク分離神話がランサムウェア感染の脆弱性要因であったことは否めません。

しかし、周知のようにカルテシステムもクラウドサービスで運用されているものもあり、物理的な分離は現実的ではなく、審査においても論理的分離をチェックしています。従来のように医療機関に専用PCでのみカルテ情報を取扱うのであれば、ランサムウェア感染のリスクはかなり抑えられます(ゼロにはなりません)。

ゼロトラストという言葉自体は、2010年頃からその必要性が叫ばれていました。しかし、その認知度が高まってきたのは、2017年くらいからです。加えてコロナ禍において一気にリモートワークやクラウドサービスの利用が増えたので、ランサムウェア感染の事件も増加傾向にあり、技術的安全管理措置の見直しが必要となってきています。

ゼロトラストとは、すべての通信を信頼しない前提で、情報へのアクセスの都度、正規ユーザーであるかの認証を行う仕組みを構築するための概念です。そのため物理的なネットワーク分離よりもわかりにくく、このセキュリティソリューションを導入したらゼロトラストが完成するというものではありません。多くのセキュリティベンダーがゼロトラストネットワーク構築に必要なソリューションを提供していますが、各事業者の情報資産や業務内容により、その構築方法は異なるので、導入にあたっては、中長期な計画に基づいて行っていくことになります。最近は、お客様の中でもゼロトラストネットワーク思考の対策を導入しているケースも見受けられるようになってきました。

4.境界防御とゼロトラストの違いは?

 境界防御型ネットワークとは、クラウドサービスを利用する前の社内ネットワークの典型的なイメージを思い出せば理解しやすいでしょう。社内にはサーバがあり、サーバに紐づいたPC端末(一般ユーザー)が複数台接続され、情報システム管理者(特権ユーザー)が各PC端末の操作や通信ログを監視しており、インターネットに接続するためにはプロキシサーバーを通して通信を監視されていました。もっとも、この監視がリアルタイムで行われていないと不正アクセスなどを検知できないことがあります。顧客システムから大量の個人情報をUSBメモリーにコピーして持ち出す事件が起きていますが、境界防御型のネットワークセキュリティ対策が機能していれば、そもそもUSBメモリーに個人情報をコピーすることはできないか、コピーしようとした時点で警告が発せられ、情報システム管理者が飛んでくるはずなのです。

 ここでの大前提は、社内ネットワークと社外ネットワークの間にはファイアーウォールにより通信障壁があり、社内への不正アクセスや社外に不正に個人情報を持ち出す社員の行為を防ごうという対策です。境界防御型ネットワークにおいては、情報の出入り口であるサーバやファイアーウォール等のネットワーク機器による安全管理措置を講じていればよく、一点集中管理の視点からネットワークの「要塞化」というキーワードに見られるように、二重・三重の多層防御により検知・駆除することができるという考え方です。大前提は、「守るべき情報資産は社内にある」です。

 時代は変わって、リモートワークが一般化した現在。皆さんも日々、会社から貸与されているPCやスマホを自宅や出張先等で使用しているはずです。さらにPCやスマホで社内ネットワークに接続する際はVPN通信で暗号化しているので安全、と思っているかもしれません。しかしながら、境界防御型ネットワークの大前提を思い出してください。

 

 守るべき情報資産は社内にある。これまで社内にあったPCやスマホが社外にあるのが大前提になっています。そもそも社外にPCを持ち出す際は、事前に上長等の承認を得た場合に限るというルールがあったのではないですか。リモートワークが前提なら、このルールは空文化しており、修正ないし削除しなければいけないのです。加えてVPNで社内ネットワークに接続するということは、社外から社内へのネットワーク通信であり、境界防御型ネットワークでは防御態勢を取っているので、例外的に通信を許可するということです。これは、サイバー攻撃者にとっては、「間隙を縫うきっかけを与えてくれてどうもありがとう」的なことであり、せっかくの境界に穴をあけるような自滅行為に等しいものです。

 さらにVPN接続で社内サーバにアクセスするということは、社外からのアクセスをするということであり、なりすましのログインを許すリスクへの対応が必要ということです。実際、ランサムウェア感染の原因にVPN機器の脆弱性を突いた不正アクセスという事故が起きています。VPN神話は崩壊していると考えるのがゼロトラストネットワーク思考です。

 ゼロトラストネットワーク思考においては、情報(サーバ、業務システム、個人情報等)へのアクセスを行う利用者やその利用端末を全く信頼していません。割り当てられたIDやパスワードをシステム等にログインをしようとする際、その都度、認証確認を必要とします。VPN接続では、一旦、認証されると社内ネットワークのアクセス権がある情報へは自由にアクセスできるのに対し、ゼロトラストネットワークでは、システムごとへの再度の認証を前提とします。要は、あらゆる通信や操作を監視するという発想です。考え方は理解できますが、これを実現しようとすると人力では無理です。そのため専用のゼロトラストソリューションを導入することになり、そのためには必要経費を支払わなければならないので、直ぐにゼロトラストネットワーク思考の実現しようとしてもハードルが高いのです。

5.リスクアセスメントの重要性

 以上のことから、リスクアセスメントの重要性がよりクローズアップされてきます。Pマークの新規取得や更新審査を終えると担当者の方は一安心されますが、それはとても危険なことです。Pマークの審査では、ゼロトラストネットワークの診断をしているわけではないので、サイバー攻撃のリスク対策が十分できているという証にはならないからです。サイバー攻撃のような脅威は365日24時間、常に脆弱性のあるネットワークを探しては攻撃を仕掛けてきています。これに対してPマークの更新審査は2年に1回です。前回の審査から2年も経てば新たなウィルスが登場しているでしょうし、OSやアプリの脆弱性を突いた攻撃も多数発生するでしょう。ちなみに来年の10月にはWindows10のサポートが終了し、継続利用にはお金がかかります。Windows11へのアップデートも1年以内には完了させる必要があります。

 このWindows11へのアップデートは、ゼロトラストネットワーク構築の第一歩としてのリスク対応計画といってもいい絶好の機会です。なぜなら、現在貸与しているPCをいったん回収することで脆弱な利用状況を確認し、どのような対策を導入すべきかの見直しがしやすいからです。PマークやISMSの新規取得のお客様でよくある質問の一つが、「個人所有のPCやスマホの利用をしている現状のままで審査が通りますか?」です。そこで「現在、そのためのルールはありますか?」と聴くと、たいてい「ありません」という回答が返ってきます。これはゼロトラスト以前に境界防御すらできていないということでもあり、昨今の情報漏洩事件等の実情を踏まえると、とても危険極まりない状態といえます。

 確かにBYOD(Bring Your Own Device:個人が私物として所有しているPCやスマートフォンを業務に使う利用形態のこと)には、従業員が所有するデバイスなどを業務に「持ち込む」ことによる業務効率化、生産性向上、企業側が負担する端末の購入・維持費の削減のほか、在宅勤務やリモートワークとも親和性が高く、多様な働き方に対応できるメリットもあります。その場合、メリットだけにとらわれてしまうとデメリットのリスク管理が甘くなり、結果、情報漏洩といった事故につながりやすくなります。そもそも会社が管理できない端末を業務で使うことになるわけですから、ゼロトラストとは真逆の利用形態とも言えなくはないですが、こうしたことを前提としたソリューションもありますので、リスクアセスメントからのリスク対応計画が重要になるのです。

 またクラウドサービスの利用が増えてきたことからシャドーIT(情報システム部門などが関知せず、ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスなどのこと)の監視強化も課題の一つです。もはや、やりたい放題を見過ごしているわけで、個人情報保護法における安全管理措置義務違反状態とも言えます。

 そもそも会社が関知していないシステムやクラウド等を社員が勝手に利用して情報資産を保存していること自体、社内ルールに違反しているといえます。ゼロトラストネットワーク思考においては、すべての通信を監視できないといけないので、境界防御型ネットワークにおけるファイアーウォールのような役割を、クラウド上で展開する必要があるのです。リモートワークやクラウドサービスの利用を開始した時点で、社内と社外というボーダーは意味がないわけで、情報セキュリティ対策において発想の転換をしないといけない時代になっていることを認識したうえで、早急にリスクアセスメントによりゼロトラストネットワーク思考のリスク対応計画を作成し、実装していくことが望まれています。