サイバー攻撃が発覚した瞬間、病院がどのように動くかで被害の大きさは大きく変わります。
「何を止め、何を守り、誰に連絡するか--」緊急時の判断は、平時の準備で決まります。第3回では、大阪急性期・総合医療センターの事例と専門家の知見をもとに、初動対応の要点をQ&A形式でお伝えします。




Q1 サイバー攻撃の被害を受けたとき、最初にやるべきことは?

A1 サイバー攻撃発生時は、被害拡大防止を最優先に、各部門が役割を分担して迅速に初動対応を行う


医療部門、システム部門、事務部門に分けて進めていく必要があるが、被害を拡大させないためには、まずは抜線することである。医療現場の職員が異変に気づいたときに、利用端末のLANケーブルの抜線やWi-Fi を無効化するなどネットワークからの遮断を行うことが重要となる。その際、電源はオンのままにしておき、そのうえでシステム部門担当者に連絡しよう。医療現場でも分かりやすくこの作業ができるように、ネットワーク遮断方法を掲示しておきたい。

医療部門は、システム障害の状況を判断し、紙運用への切り替えや医療制限の判断を行う。

システム部門は、あらかじめ準備していた外部接続機器リストに基づいて抜線作業を行い、ログ情報を確認して被害範囲を特定する。特に侵入経路の特定と個人情報の流出状況の確認は重要である。その後バックアップデータの確認を行い復旧作業に着手する。オンラインバックアップは汚染されている場合があるので、オフラインバックアップからの復旧作業を行う。

事務部門は、対応組織の確立、厚生労働省など関係機関への連絡、広報対応など、医療部門およびシステム部門を後方から支援する役割を担う。

病院の実情に応じたIT-BCP を策定し、サイバー攻撃を受けた場合の初動対応計画を準備しておきたい。



Q2 IT担当者がいない場合、サイバー攻撃発生時にどう対応する?

A2 IT 担当者が不在でも、事前に専門業者や支援窓口を把握しておけば適切な対応を進められる


情報セキュリティインシデントが発生すると、まずは自施設の医療情報システムベンダーに調査や復旧を依頼することになる。しかし、医療情報システムベンダーは情報セキュリティの知識や経験に乏しい場合がある。あらかじめ、発生時の専門業者の連絡先を確認しておくなど準備をしておこう。

厚生労働省では、徳島県つるぎ町立半田病院でのサイバー事案を受けて、2022 年より情報セキュリティインシデントが発生した医療機関への初動対応支援事業を開始している。サイバー攻撃が疑われる事案が発生した場合は、厚生労働省の連絡窓口に一報を入れるとともに、初動対応について相談することが望ましい。

サイバー保険に加入している場合は、保険会社から専門業者を紹介してもらえることがある。日本医師会の会員であれば、日本医師会サイバーセキュリティ支援制度1)の利用も可能である。独立行政法人情報処理推進機構(IPA)のサイバーセキュリティ相談窓口2)や「サイバーセキュリティお助け隊サービス」3)などを活用して情報を得たり相談することもできる。

そのほか、自施設の状況に応じた専門業者の連絡先をあらかじめ整備し、IT-BCP のなかに表記しておきたい。


Q3 「データを暗号化した、解除するなら身代金を払え」と言われたらどうする?

A3 身代金の支払いは推奨されず、復旧は正規の手段と調査によって進めるべきである


身代金の支払いは、反社会勢力に対する供与に該当する場合がある。政府機関やセキュリティ専門家は、身代金の支払いを推奨していない。支払ってもデータが復旧する保証はなく、攻撃者を助長する可能性がある。

仮に身代金を支払ったうえで暗号化を解除できたとしても、本当にそのデータが正しいのか、真正性に問題がないのかについては疑義が残る。攻撃者にバックドアと呼ばれる裏口の通信ルートを作られている可能性もある。

警察庁のウェブサイト4)では、一部のランサムウェアについて、「No More Ransom」プロジェクトのウェブサイトで復号ツールが公開されていると紹介があるが、一部のランサムウェアにしか復号ツールが対応していないことや、復号ツールが利用できるランサムウェアとして紹介されていた場合であっても、バージョンなどの違いにより、復号ツールが使えないことがあることなど、注意事項があるので留意すべきである。

参考までに、公的機関である当センターの場合は、支払いの検討すら一切行っていない。当センターでは復旧を行うにあたり、すべてのサーバおよび端末の調査を行い、暗号化されていない機器は継続使用する選択肢もあった。しかし調査に相当な時間を要するうえ、各機器の真正性も保証が得られないことから、苦渋の決断ではあったが、大部分のサーバと端末PCのクリーンインストールを実施した。その影響もあり、復旧まで約2ヵ月を要した。

文献
1) 日本医師会ウェブサイト.日本医師会サイバーセキュリティ支援制度.
https://www.med.or.jp/doctor/sys/cybersecurity/001566.html
2) 独立行政法人情報処理推進機構ウェブサイト.サイバーセキュリティ相談・届出窓口一覧.
https://www.ipa.go.jp/security/support/soudan.html
3) 独立行政法人情報処理推進機構 サイバーセキュリティお助け隊サービスウェブサイト.
https://www.ipa.go.jp/security/otasuketai-pr/
4) 警察庁ウェブサイト.ランサムウェア被害防止対策.
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html

著者

粟倉康之 (事務局 統括マネージャー)

書籍のご案内



医療機関のサイバー対策

患者と経営を守るIT-BCPと緊急対応ガイド
医療機関のサイバー対策
セキュリティ専門家と医療現場担当者が答える実践Q&A/実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き

みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール(ダウンロード可)も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。

発行:2025年11月
サイズ:B5判 208頁
価格:3,960円(税込)
ISBN:978-4-8404-8832-7
▼詳しくはこちらから

▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら