令和4年11月定例会 個人質問 [サイバー攻撃について]

令和4年(2022年)11月定例会 個人質問

1.教育行政について / 2.高齢者のデジタル推進について / 3.サイバー攻撃について /

以下、議会で質問した内容と、答弁いただいた内容を記しております。

サイバー攻撃について

大阪市住吉区にある大阪急性期・総合医療センターが「ランサムウエア」とよばれる身代金要求型のウイルスによるサイバー攻撃を受けて電子カルテなどのシステムに障害が発生し、現在でも全面復旧には至っておりません。
令和3年にも徳島県つるぎ町立 半田病院で、VPNルータなど、システム機器の、セキュリティパッチの適用がなされておらず、ランサムウエアの被害に遭いました。

サイバー攻撃は日進月歩、形を変えながら脆弱性の高いネットワークやシステムを狙ってきます。
VPN接続は、今やサイバー犯罪者の格好の標的となっており、マルウエアの被害では最多となっております。

吹田市においても、庁舎内や消防・医療関係など、市民の命と財産を守る大事な機関では、そういった脅威にさらされないためにも、堅牢なセキュリティ対策が必要であり、よく「組織的対策」「人的対策」「技術的対策」「物理的対策」が必要であると言われておりますが、
予防はもちろん、起きてしまった事象に対応するためのマニュアルの構築、実践の訓練を習慣づけることも必要であり、先にお示しした事案は、インシデントを予測し、準備する必要性が高いことを改めて知らされた事件でした。
災害時のBCPは当然考えられているでしょうが、サイバー攻撃によるリスク想定、それぞれの所管の、情報システムの安全管理に必要なリソースの確保や、管理手法、インシデントの対処、これらに必要なパートナーに関する備えについては、どのような対策が講じられているのか、
吹田市の現状について質問いたします。

Q

庁舎内、消防、保健センター、学校現場・教育センター、その他出先機関や独法の市民病院では、こういったサイバー攻撃の脅威にさらされないためには、どのような対策をなされているのか?サイバーハイジーン(IT環境の衛生管理)の取り組みなど、具体的なものがあればそれもお教え願います。

情報化推進担当理事 ご答弁
全庁的に利用する住民情報系ネットワーク及び内部事務系ネットワークにつきましては、保健センター等の出先機関も含めて情報政策室が管理しており、情報セキュリティーポリシーにのっとり、様々な側面から対策を行っております。
機密保持の観点から詳細は差し控えさせていただきますが、特に、サイバー攻撃への対策が最も必要となるインターネットにつきましては、国が掲げる方針の下、内部のネットワークと分離した上で、非常に強固なセキュリティ強化対策システムを導入し、情報資産としての端末等の管理、監視も含めた安全な運用を行っております。

消防長 ご答弁
消防本部からも御答弁申し上げます。消防が独自で運用している情報システムには、119番通信指令システム等がございますが、外部のネットワークとは接続しておらず、インターネット等を介しての不正アクセスはできない仕様としております。主要機器の設置場所は、入室管理を行っており、また、消防署等に設置された端末機器については、これまでどおり情報セキュリティーポリシーに沿った運用管理を徹底し、安全な運用に努めてまいります。

教育監 ご答弁
学校現場及び教育センターのIT環境を健全に保つための対策につきましては、セキュリティー対策の観点から詳細な説明は差し控えさせていただきますが、サーバーを外部と隔離した状態で稼働することで、システムの安全な運用を図っております。

健康医療審議監 ご答弁
健康医療部からもお答えいたします。サイバー攻撃につきましては、予防、検知、対応・復旧の観点でそれぞれ対策を行うことが重要であると国からも示されております。
市立吹田市民病院におきましては、具体的な予防策として、USBなど記録媒体の使用制限や、不正ソフトウエア対策を行うとともに、情報セキュリティーに関する研修や、システム停止を想定した訓練を定期的に実施するなど、厚生労働省のガイドラインに基づき、対策を講じております。
また、徳島県の町立病院や住吉区の大阪急性期総合医療センターで発生したサイバー攻撃の事案を受け、その都度、病院内やシステムを連携している事業者におけるソフトウエアの更新状況を点検するなど、対応をしているとのことでございます。

Q

情報政策室さんにお伺いいたしますが、
2月議会でも質問しご答弁頂きました「職員一人一人のさらなる意識向上を図るため、職員全員の受講を目指した情報セキュリティー研修」との事でしたが、その具体的な内容と進捗や状況についてお教え願います。

情報化推進担当理事 ご答弁
情報セキュリティー研修につきましては、全職員が受講しやすいように、動画配信やeラーニングを中心とし、その内容につきましても、全般的な基礎知識を初めといたしまして、実際に起こったセキュリティー事故の紹介や、近年のサイバー攻撃の傾向、実務に即した演習、更には個別テーマに特化した専門的内容等、多岐にわたったものとしております。
本市が独自に作成したコンテンツだけでなく、国や関連団体から提供されるものも活用するなど、様々な方法で受講環境を整備しながら、着実に取組を進めているところでございます。

Q

教育委員会にお伺いいたしますが、
情報システムを扱う事業者及びベンダーの、情報セキュリティに対しての意識や専門性はどのように担保をとっているのか、お教え願います。

教育監 ご答弁
教育委員会が運用するシステムにおいては、情報セキュリティーの国際規格であるISO27001を取得していることを条件に事業者の募集、システムの構築、運用を行い、セキュリティーを担保しております。

Q

市民病院についてお伺いいたしますが、
住吉区の大阪急性期・総合医療センターの事例のような、ランサムウエア型の攻撃を受けた場合、市民病院ではどのような対応が考えられるのでしょうか?
そもそもあの程度のものは、吹田市民病院ではゼロトラストなど、取り組んでいて限りなく可能性は0に近い対策がなされているのでしょうか?

健康医療審議監 ご答弁
市立吹田市民病院におきましては、サイバー攻撃によるシステム障害が発生した場合の対応・復旧策として、電子カルテの情報について複数の媒体でバックアップを作成するとともに、入院患者リストなどの各種帳票を紙媒体でも常時作成するなど、医療体制への影響を最小限にとどめる対応を行っているとのことでございます。

万一何かで生じたとしても、BCPによって運営ができる状態であるという事でした。

この記事について、あなたはどう思いましたか?
  • 笑いも起きない記事だわ (0)
  • ワロタ (0)
  • え~事言うなぁ (0)
  • 同じこと思っててん (0)
  • この記事もっと掘り下げて欲しい (0)
  • 興味なし (0)
  • 勉強不足 (0)
  • オモロイやん (0)
  • 全然ダメだね (0)
  • まだまだだね (0)
  • なんとも思わない (0)
  • まぁまぁ頑張ってるね (0)
  • 頑張ってるね! (0)

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
目次