医療機関を狙ったサイバー攻撃は、今や病院の規模に関係なく発生しています。
2022年の大阪急性期・総合医療センターでのランサムウェア被害は、電子カルテ停止・診療停止という前例のない事態を引き起こしました。本連載では、この経験と専門家の知見をもとに編まれた書籍『サイバー対策 医療機関の 患者と経営を守る IT-BCPと緊急対応ガイド』から、全5回にわたり実践Q&Aを紹介します。
第1回では、病院がまず押さえるべき「サイバー対策の前提」を取り上げます。
Q1 「うちは小さい病院だから、大丈夫」って本当?
A1 病院の規模に関係なく、誰でもサイバー攻撃の対象になりうる
確かに金融機関や官公庁、大手製造業企業など特定の組織を標的としたサイバー攻撃もある。しかしながら、情報セキュリティに関する攻撃には、特定の組織を標的としていないものが多く、医療機関がターゲットとなる場合はこちらの可能性が高いと思われる。
メールによるフィッシング攻撃の場合には、不特定多数に対してメールが送信される。職員が不注意でメールのURL をクリックしたり、添付ファイルを開くことで、ウイルス感染してしまう。そして、パソコンが外部からコントロールされてしまう。また、ウイルス感染して汚染されたUSB メモリを不注意で病院内のパソコンに挿してしまうことでウイルス感染する場合もある。いずれも病院の規模には関係ない。いずれも人間つまり使用者側の問題であり、セキュリティ教育やウイルスソフトの導入などで、かなりの程度で防御することができそうである。
一方、インターネットとの外部接続点であるVirtual Private Network(VPN)装置が攻撃対象になる場合がある。この場合、攻撃者からみればそのVPN 装置がどこに設置されているかを意識して攻撃してくるわけではない。世界中に存在する攻撃対象となるVPN 装置のうち、適切なバージョンアップがなされていないような、セキュリティ対策が不十分な脆弱性のあるものが攻撃されるのである。攻撃者が侵入に成功した後で、その攻撃対象のVPN 装置が設置されていたのが医療機関であったというだけであり、病院の規模はまったく関係ないということになる。
攻撃者はいったん何らかの方法でインターネットを通じて外部から内部ネットワークへ侵入することに成功した後は、内部ネットワークのその他の端末に攻撃を広げていく。攻撃は日本国外からのものであることが多く、その場合、攻撃対象の組織が医療機関であるかどうかや、その規模などはまったく意識されないようである。
Q2 ネットワーク接続医療機器が危ないってどういうこと?
A2 ネット接続された医療機器はサイバー攻撃の入口になりうるため、導入時の確認が重要
自施設で最近購入した医療機器を列挙してみてはどうか? たとえば直近1 年以内に購入した医療機器をリストアップしてみよう。安価なものであれば、体温計や血圧計などがあがるかもしれない。多くの電子体温計はBluetooth でデータ転送が可能である。血圧計もBluetoothやWi-Fi でデータ転送が可能なものが多い。これらも広義のネットワーク接続医療機器である。
注意を払うべきは、もう少し大型の医療機器がメインとなるであろう。超音波機器、CT やMRI 装置も、Windowsまたはその他のOS上で動作している。画像検査の後は、医療用画像管理システム(PACS)サーバへ画像データが転送される。つまり電子カルテネットワークとダイレクトに接続している状態である。大型機器・装置を中心にこのような機器は、メンテナンスなどの必要性からインターネットへつながっていることが多い。きちんとした医療機器メーカーやその納入業者やベンダーであれば「このような目的でこのように外部ネットワーク接続をします」と納入時に説明してくれるかもしれない。
しかしながら、販売担当者が正確に把握していない場合も想定される。では、病院側担当者としてはどうすればよいか? いくつかの項目のチェックリスト(表1)を準備し、医療機器購入時に確認して、項目が適切に記載されたものしか病院としては購入・導入しないというルールを徹底しておくことで、セキュリティリスクを低減できる。
表1 医療機器購入時の確認チェック項目(例)
①接続の目的
②ネットワーク接続機器の有無
③メーカーやモデルの名称
④通信回線の種類
⑤通信プロトコル
⑥ セキュリティ対策としてのアクセス制御や通信監視、ログの取得の有無
⑦ 導入後の機器のバージョンアップやメンテナンス、サポート
Q3 どんなセキュリティ対策を導入すればいい?
A3 高額な対策より先に、初期設定の徹底と運用の見直しが重要
試しに「医療機関のセキュリティ対策」と検索してみると、通信大手が提供するEDR サービス*1やUTM 装置*2による境界型防御などが目につくであろう。ただ、やみくもに高額なサービスや機器を導入しただけで対策が十分なのかというとそうでもない。費用をかけなくてもできることから始めよう。当センターが電子カルテシステム更新(2024 年10 月)にあたって設定したセキュリティポリシーの一部を示す(表2)。
表2 当センターのセキュリティポリシー(一部) (2024年10月時点)
① CIS ベンチマーク*5推奨設定に基づくセキュリティポリシー設定として
・標準ユーザーでの運用
・RDP ポート番号*6の変更
・アカウントロック設定
・サーバ、端末ログイン時のパスワード個別化(サーバ・端末すべてユニーク:2,000台超)および16桁設定
・ユーザーアカウント制御(UAC)有効化
・ネットワークのマイクロセグメンテーション化
・Windows サーバおよび端末計2,000数百台の定期的なセキュリティパッチ適用
・ウイルス対策ソフトのパターンファイル定期更新
これ以外もあるが、いずれもWindows OSやサーバ、端末、ネットワークの設定である。まずここまで初期設定を行ってから、外部の有償サービス(EDR、NDR*3、SOC*4など)の導入を考えても遅くない。特別高額な費用をかける前にできることがたくさんある。
残念ながら多くの病院では上記とは真逆の設定がされていることが多いようである。「標準ユーザーではなく管理者アカウントでの運用」「アカウントロック設定なし」「全サーバパスワード共通、かつ、安易なパスワード設定」「Windows OS のバージョンアップなし」「ウイルスソフト未稼働、あるいは、パターンファイルの更新なし」など……。まず足元を見直すところから始めることをお勧めしたい。
*1 Endpoint Detection and Response(EDR)サービス:パソコンやサーバなどの端末をつねに監視し、不審な動きをすばやく発見・対応するセキュリティサービス。
*2 Unified Threat Management(UTM)装置:ウイルス対策や不正アクセス防止など、複数のセキュリティ機能をひとまとめにした機械。
*3 Network Detection and Response(NDR):ネットワーク全体の不審な通信を検知・対応するセキュリティサービス。
*4 Security Operation Cente(r SOC):専門スタッフが24 時間監視・分析・対応してくれるセキュリティサービスのチーム。
*5 CIS ベンチマーク:IT システムやソフトウェアを安全に構成するためのベストプラクティス(設定基準集)。非営利団体CIS(Center for Internet Security)によって策定・公開されている1)。
*6 RDP ポート:Windows のリモートデスクトップ(遠隔操作)接続に使用される「通信の出入り口」の番号。通常は「3389 番」が使われている。
文献
1) CIS. CIS Benchmarks List. https://www.cisecurity.org/cis-benchmarks
著者
書籍のご案内
患者と経営を守るIT-BCPと緊急対応ガイド
セキュリティ専門家と医療現場担当者が答える実践Q&A/実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き
みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール(ダウンロード可)も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。
発行:2025年11月
サイズ:B5判 208頁
価格:3,960円(税込)
ISBN:978-4-8404-8832-7
▼詳しくはこちらから
▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら
2025年12月に「医療情報サイバーセキュリティシンポジウム」の開催を予定しています。私たちの実例を起点に、IT-BCPの重要性や、多職種による備えのあり方を広く議論する場としたいと考えています。ご参加お待ちしております。
タップして拡大↑
申込先・詳細はこちら
