メイン コンテンツへスキップ
業界

医療機関に求められるサイバー攻撃対策

マイクロソフトは、昨今急増しているサイバー攻撃に対し、各種セキュリティ サービスをご提供しております。本稿では、医療機関様にマイクロソフトのセキュリティ サービスがどのように貢献できるのか、技術的な視点も含めてご紹介いたします。

日本マイクロソフト株式会社 医療・製薬営業統括本部
北原 大毅

医療機関のセキュリティ被害

2021 年、医療情報システム (HIS) は多くのサイバー攻撃に見舞われました。

2021 年 9 月、愛知県豊田市の病院がランサムウェアの被害を受けて、電子カルテが利用できなくなりました。その翌月には、徳島県の町立病院で同じくランサムウェア感染があり、約 85,000 人の患者情報にアクセスできなくなったと報じられています。この 2 つの被害では、電子カルテが復旧するまでの 1~2 か月の間、新規患者や救急搬送の受け入れ停止、手術への支障、紙カルテの運用等、診療業務に多大な影響がありました。徳島県の病院ではシステム再稼働に約 2 億円がかかりましたが、ランサムウェアの暗号化がバックアップ データにまで及んでいたとされ、過去の診療データは復旧できなかったそうです。

上記以外にも、2021 年から現在までに報道されているだけで 4 つの病院にランサムウェアの被害が出てしまいました。2021 年度末には、医療 ISAC から都立の 2 病院が国際ハッカー集団の標的になっていると報告されるなど、今まさに医療機関がサイバー攻撃に晒されていると言えます。

行政の対応

このような状況を受け、行政の動きも出てきています。1 つは「医療情報システムの安全管理に関するガイドライン」の改訂です。ランサムウェア被害がバックアップ データにまで及んでしまう対策として、「バックアップの世代管理」や「バックアップ データをネットワークから切り離して保管すること」等について記載することが検討されています。もう 1 つは、2022 年の診療報酬改定です。1 月 26 日に公表された改定案には、 診療録管理体制加算の取得要件に、400 床以上の医療機関は「非常時に備えた医療情報システムのバックアップ体制を確保することが望ましい」という項目が追加されています。

2022 年 4 月施行の改正個人情報保護法には、個人情報取扱事業者に対し個人データの漏えい等が発生した場合の報告義務および本人に対する通知義務が新設されました。これらの行政対応によって、一部の医療機関はバックアップの構成やサイバー攻撃対策に関して、何らかの見直しを迫られる可能性が出てくるでしょう。

医療機関に求められる対策

大半の HIS は閉域ネットワーク内に構成されていますが、「ベンダーからの VPN 接続によるリモート メンテナンス」「地域の病院との患者情報送受」「研究用データの出力」などの特例的なインターネット接続により、完全な閉域とは言えない形で運用されています。そのような状況下でも前述のようなセキュリティ リスクを低減するために、医療機関はどのような対策ができるのでしょうか。

対応策の検討には、厚労省からの事務連絡でも参照されている「ランサムウェアによるサイバー攻撃に関する注意喚起」が参考になります。この文書では「予防」「検知」「対応・復旧」の 3 つの観点での対策の必要性が唱えられており、その観点毎の対策を、「感染防止」と「被害軽減」で整理したものが下表です。

医療機関に求められる「感染防止」および「被害軽減」対策

以下、各項目についてご説明しながら、マイクロソフトのサービスをご紹介させていただきます。

(1-1) セキュリティ パッチの迅速な適用

大半の一般企業では当然のように実施されているのですが、こと医療機関ではなかなかハードルが高いのがこの「セキュリティ パッチの迅速な適用」です。電子カルテをはじめ複数の部門システムが同居しているHIS端末は、パッチ適用によって一部のアプリケーションが動作しなくなる可能性があり、初期導入から利用終了までの数年間、パッチを適用しない方針で運用されているシステムも少なくありません。

このような背景もあり簡単ではありませんが、HIS の更新時にパッチを速やかに適用できるようなシステム構成、運用、保守を前提とした仕様にする必要があるでしょう。たとえ限定的でも、インターネット接続が行われる診療系ネットワークのセキュリティ対策において、パッチの適用は最も基本的かつ必須の対策となりますので、ぜひご検討ください。

(1-2) 不要なポートやサービスの無効化

閉域ネットワーク上に HIS を構成している病院が大多数だと思いますが、リモート メンテナンス用の VPN 機器など、外部からアクセス可能になっている機器について、ネットワーク上からの管理機能や不要なポートを閉じているか等の確認が必要です。また、万が一感染した場合に被害を拡大させないためにも、診療系ネットワーク内の端末やサーバーにおいて、SMB (ファイル共有) や RDP (リモート デスクトップ) については、必要最低限のポート開放とするべきでしょう。

(1-3) ウイルス対策ソフトの導入と最新化、定期スキャンの実行

ウイルス対策ソフトは導入済みの医療機関が多いかと思いますが、端末故障の際に入れ替える予備の HIS 端末など、長期間利用のない端末についても、利用前にはウイルス対策ソフトの最新化が必要です。

マイクロソフトは、Windows に標準で備わっているウイルス対策ソフト Microsoft Defender をご提供しておりますので、ぜひご利用ください。

(2) ランサムウェア対策としてのバックアップ

バックアップはその目的によって、データをどのように保管するかが異なります。一般的に実施されているバックアップは、ハードウェア故障への対応を目的としたものなので、HIS の各サーバと同じネットワーク内に保管されているでしょう。また、災害時のデータ保全や BCP の目的では、遠隔地へバックアップ データがコピーされるかと思います。

ランサムウェア対策を目的とするバックアップでは、次の 2 点を考慮する必要があります。

1 点目は、ランサムウェアがバックアップしたデータにも感染してしまうため、ランサムウェアがアクセスできない保存先へのデータ コピーすることです。これは、テープ媒体へのバックアップや、クラウド ストレージへのバックアップが有効な手段となります (※1)。物理的な遠隔地へのバックアップは、その保存先が診療系ネットワーク内からアクセスできてしまう場合には、ランサムウェア対策としての効果はないので、注意が必要です。

2 点目の理由は、バックアップの世代管理です。ランサムウェアは身代金支払の可能性を上げるため、バックドアの設置や情報の窃盗が済んだ後ではじめて感染を発覚させます。このため、感染に気が付くまでの間はウイルス感染したデータをバックアップすることになってしまいます。感染発覚後、感染前のバックアップ データに戻す必要があるのですが、バックアップの世代管理がなされていない、あるいは数日程度の世代管理しかしてない場合には、感染前のデータには戻せない可能性があるのです。

マイクロソフトでは、クラウド型のバックアップ サービスである Azure Backup をご提供しており、オンプレミス システムのバックアップに利用できます。バックアップ用のデータ転送エージェントを介して Web-API でデータ転送を行うため、ランサムウェアによって暗号化されてしまう可能性は低く、また最大 9,999 世代のバックアップ取得が可能となっています。バックアップ データの退避コピー先として Azure Backup のご活用をぜひご検討ください。

Azure Backup 構成イメージ

(※1) クラウド ストレージへのデータ転送は一般的に Web-API が利用されるので、一度バックアップされたデータがランサムウェアによって暗号化されてしまう可能性は低いと考えられ、ランサムウェア対策として有効と言えます。

(3) ログ監視の強化

不正アクセスの兆候を検知するにはログ監視が有効ですが、サーバー、ネットワーク機器、PC 等のログを収集して監視・可視化仕組みとして SIEM (Security Information and Event Management) が活用できます。SIEM は、左記のようなさまざまな機器のログを突合して分析し、異常な動作や将来起こる潜在的なサイバー攻撃の予兆を察知してアラートを上げたり、管理者が見落としていたインシデントの痕跡や潜伏していたマルウェアを発見するソリューションです。SIEM でログを集約して分析することで、内部不正も含めて予兆段階での脅威の検知が可能になります。

マイクロソフトは、SIEM および SOAR (Security Orchestration, Automation and Response) ソリューションとして、Microsoft Sentinel をご提供しています。このサービスは、多様な機器からログを収集して、高度な脅威インテリジェンスを使って過去に検出されたことのない脅威までを検出し、調査や対処を Web 上から簡単に設定できます。また、さらにインシデントへの対応を自動化することによって、管理者の作業削減にも貢献いたします。

(4) EDR の活用

EDR (Endpoint Detection and Response) は、PC やサーバー等からログを収集して、不審な挙動やサイバー攻撃等をリアルタイムに検知し、迅速な対応を支援するソリューションです。この EDR は、既存のセキュリティ ソリューションでは、高度化するサイバー攻撃を完全に防ぐことはできない現状に対し、侵入されても迅速に検知・対応することで被害を最小限に抑えることを目的としています。

マイクロソフトでは、Microsoft Defender for Endpoint という EDR サービスをご提供しております。同サービスは、マルウェアの侵入を迅速に検知して自動対応を行う EDR 機能の他に、システム全体のセキュリティ レベル向上を支援するセキュリティ状況のスコア化機能や、特定パターンのプログラム動作やリスクのある Web アクセスをブロックする機能等を持っています。また、Office365 や Microsoft Sentinel と連携することによって、脅威やインシデントを一元的に管理していただけます。

(5) サイバー セキュリティ トレーニング

HIS を利用する全ユーザに対し、セキュリティ意識を高めて対策の習慣づけを行うサイバー セキュリティ トレーニング実施が推奨されています。継続して教育を行うことによって、許可されていない USB メモリの利用や、標的型攻撃メール内の URL をクリックする可能性を低くすることができます。

マイクロソフトは、Microsoft 365 E5 または Microsoft Defender for Office 365 Plan 2 で、疑似攻撃トレーニングをご提供しています。定期的なトレーニングを行うことによって、職員の皆様のセキュリティレベル向上を支援いたします。

(6) 対応手順、業務継続計画、連絡体制の整備

万が一サイバー攻撃の被害が発生した場合の対応手順や業務継続計画が適切に策定されているか、その被害を組織内外に迅速に連絡できるように連絡体制が確立されているか、確認が必要です。

マイクロソフトのセキュリティ サービス

マイクロソフトは、今後の 5 年間で情報セキュリティへ 20 億ドル投資することを発表しています。これは、お客様に安心してクラウドをご利用いただくには「安全」が必須だと考えているためです。この投資のもと、マイクロソフトでは 1 日 24 兆件以上もの不審な動き等といったシグナルを受信し、それを 8,500 名以上のセキュリティ専門家が AI を活用して分析することによって、お客様のセキュリティを日々アップデートしています。このような投資や膨大な数のセキュリティ シグナルへの対応が、マイクロソフトのセキュリティを最高水準に引き上げています。

Microsoft security signals

また、マイクロソフトは Windows にビルトインされた形でセキュリティをご提供しています。Windows には最初からセキュリティ機能が含まれており、ライセンスを有効化するだけで利用することができます。OS に組み込まれた形で機能しているので、後からインストールするウイルス対策ソフトと異なり処理負荷が非常に低く、プロセス停止やサービス停止等の攻撃への防御力が高いといった特徴もあります。

Windows ビルトイン - Microsoft Defender for Endpoint の優位性

2022 年以降もランサムウェアの脅威は続き、医療機関でも今後セキュリティ強化が求められます。本稿を契機として、セキュリティに対する意識を高め対応の優先度を上げていただき、各医療機関様のセキュリティ強化へ寄与できれば幸いです。

マイクロソフトは、セキュリティ サービスを通じて、医療機関の情報セキュリティ対策を支援し、医療安全と医療の質の向上、ひいては日本の医療制度のサステナビリティに貢献してまいります。