ランサムウェアはシステムやデータをロックして、身代金を要求するサイバー攻撃です。近年特に注意すべき脅威として警察庁やIPAが注意喚起を行っており、中でもセンシティブな情報を扱う病院はターゲットにされやすいと言われています。
患者さまの情報が外部に漏れたり、システムロックで対応能力が下がったりすれば、病院の経営や地域医療に大きな影響を与えます。本記事では、ランサムウェアから情報を守るための具体的対策を、2023年5月に改定された厚生労働省のガイドラインの内容を含めながらご紹介します。
目次
拡大するランサムウェアの被害
ランサムウェアによる被害は、令和2年度以降、拡大し続けています。警察庁が発表している「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和4年のランサムウェアによる被害件数は230件。前年よりも57.5%増えています。また独立行政法人情報処理推進機構(IPA)も「情報セキュリティ10大脅威 2023」にて、組織の脅威として昨年に引き続き「ランサムウェアによる被害」を1位に挙げています。
特に病院はセンシティブな情報を扱うことから、ハッカーのターゲットになりやすいとされています。
病院がランサムウェアによるサイバー攻撃を受けた場合、最も懸念されるのは対応能力の低下です。電子カルテや会計システムが利用できなくなると、紙カルテでの対応や人の手による会計を行わざるを得なくなり、新規患者の受入停止や手術・治療の延期などの問題が発生します。特に地域医療を担うような病院が被害に遭えば、周辺のクリニックも含め、地域医療に大きな影響を及ぼすでしょう。
現在はカルテなどのデータ化に加え、クラウドサービスの利用や外部ネットワークとの接続が徐々に一般的になりつつあります。このことから、病院ではランサムウェアに対するセキュリティ強化が求められます。
医療情報システムの安全管理に関するガイドライン第6.0版
ランサムウェア等のサイバー攻撃に対処するため、厚生労働省では「医療情報システムの安全管理に関するガイドライン(以下:ガイドライン)」を定めています。このガイドラインは、医療機関等が遵守すべき法令等の要件を満たすための実行指針で、かつ情報資産を継続的に保護するために作られています。
ガイドラインに記載されているのは、病院の経営者を含む電子的な医療情報の取り扱いに関わる責任者が守るべきセキュリティ対策や意識などです。ガイドラインを遵守することによって、安全性の高いシステムとなります。
ガイドラインは2005年に第1版が策定され、2023年5月に第6.0版となりました。ここからは、第6.0版における改定内容をご紹介します。
1. 責任の明確化
2. ゼロトラスト思考と非常時の対策
3. オンライン資格確認の導入が義務化
【改定点1】責任の明確化
第6.0版のガイドラインでは、電子的情報を保護する際の責任が明確化されました。
これまで病院側のサイバーセキュリティに関しては、経営者はあまり関わることがなく、システム管理者に丸投げされる傾向にありました。しかし、ランサムウェアなどの攻撃によって、新規患者の受入ができなくなったり、効率や質が落ちたりすれば、経営に直接かかわる問題となります。
第6.0版では「概説編」「経営管理編」「企画管理編」「システム運用編」と4つに分け、担当者ごとにすべき対応が明示されています。これにより、経営陣も自院のシステムやセキュリティを把握し、サイバーセキュリティやBCP対策への意識を高め、指示を行うことを求められるようになります。
加えて、外部委託や外部サービスを利用する場合、責任の所在や契約内容などを明確に整理することも必要だとされています。第6.0版では、委託先や外部サービスを利用した場合でも、利用のリスクがあることを病院側が理解し、監督する責任があると明記しています。
【改定点2】ゼロトラスト思考と非常時の対策
2つ目の改定点はゼロトラスト思考と非常時の対策です。
以前は「院内ネットワークであれば安全」という意識がありました。しかし、近年はサイバー攻撃が高度になっており、組織などを中心にシステムの脆弱性を狙った攻撃が増えています。そのため「院内ネットワークも外部ネットワークも不正にアクセスされる可能性がある」というゼロトラスト思考を持って、対策を行うことが大切です。
またBCP対策も、複数の非常場面を想定し、場面ごとに違う対策を用意しておくことが推奨されています。例えば、障害やランサムウェアによる攻撃を想定してバックアップを取っていても、災害によってバックアップを保管しているデータセンターが被害を受けてしまったら意味がありません。災害を想定した対策、サイバー攻撃を想定した対策、障害を想定した対策など、さまざまな非常事態を想定して、非常事態ごとの対策を講じておきましょう。
【改定点3】オンライン資格確認の導入が義務化
第6.0版には「オンライン資格確認の義務化」についての対応も記載されています。
保険医療養担当規則の一部改正により、保険医療機関では2023年4月1日からオンライン資格確認の導入が義務化となっています。オンライン資格確認を導入すると、患者さまの医療や保険の情報が分かり、事務作業が効率化しますが、一方で個人情報を守るための情報管理が重要です。第6.0版にはそのための具体的な対策などが盛り込まれています。
また新しいネットワークや法令、新技術の今後の可能性なども記載されました。
病院セキュリティを強化するために
では、実際にセキュリティを強化するために、病院ではどのような対策を行うべきなのでしょうか。ここからは、病院セキュリティ強化のために必要な具体的対策をご紹介します。
〇ガイドラインが遵守できているかチェック
セキュリティを強化するためには、まず基本である厚生労働省のガイドラインを遵守できているかチェックしましょう。先述したように、第6.0版では担当者ごとにすべき対応を記載しています。各担当者が読み込んで、それらを確実に実施していくことが、情報を保護するための基本です。
また、厚生労働省では医療機関等がまず優先的に取り組むべき事項をチェックリストにまとめています。
▼医療機関におけるサイバーセキュリティ対策チェックリスト(令和5年6月)
https://www.mhlw.go.jp/content/10808000/001139055.pdf
チェックリストは「体制構築」「医療情報システムの管理・運用」「インシデント発生に備えた対応」の3つについて対応できているかをチェックするものになっています。18項目(医療機関用)を達成目標日とともに記載して確認しましょう。なお、チェックリストは令和5年と令和6年の2年に渡って行う内容になっています。
またサイバーセキュリティに関連するガイドラインは、厚生労働省だけでなく経済産業省と総務省も公表しています。
▼経済産業省
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
▼総務省
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_legal.html
経済産業省と総務省のガイドラインは、病院側ではなく、主にシステムサービスを提供する事業者向けです。システムを製作・管理するベンダーに、これらガイドラインを理解してもらうほか、自院での理解も必要となります。
〇インシデントの情報を知る
他院でのインシデントの情報を集めることも、セキュリティ強化にとって重要です。厚生労働省のガイドラインは、重大なインシデントや法改正などで変更されますが、即座に変更されるわけではありません。ガイドラインが改定される前に、新しい手口やシステムによって攻撃を受ける可能性もあります。
重要なインシデントはニュースになることも多いため、サイバー攻撃による事例の情報を集めておき、同様のことが起こらないよう随時対処しましょう。
また警察庁から発表される「サイバー空間をめぐる脅威の情勢等」も参考にすると良いでしょう。警察庁では年2回、サイバー犯罪における統計を発表しており、多い手口などを確認できます。
例えば令和4年は、VPN機器からの侵入(62%)が特に多い年でした。こうした事例からVPN機器のセキュリティ強化などの対策を立てられます。
常に最新の情報を集め、対策をアップデートしていくことが重要です。
〇サイバーセキュリティに関する研修を受ける
病院セキュリティの強化には、研修を受けてサイバーセキュリティに関する知識を深めることも大切です。
厚生労働省では「医療機関向けサイバーセキュリティ対策研修」を行っており、サイバーセキュリティに関する講座をオンラインで受講できます。
▼医療機関向けセキュリティ教育支援ポータルサイト
https://mhlw-training.saj.or.jp/
基本的に受講は無料です。内容は初学者(一般職員向け)、セキュリティ管理者向け、経営者向けのものが用意されています。
このほか全国自治体病院協議会でも、病院のサイバーセキュリティに関する研修が行われるなど、セキュリティに関わる人材育成が積極的になってきています。サイバーセキュリティに関する知識を深めておけば、実際にインシデントが起こった際に適切な対応ができるでしょう。
〇プロにセキュリティ対策をお願いする
人手や時間、専門知識がなく、自院でセキュリティ対策ができない場合には、プロに相談する方法もあります。プロに対策を依頼することで、人材育成の時間が必要なくなる上、自院で行うよりも経験や知識を活かしたセキュリティ対策を行ってもらえます。病院のスタッフが病院業務に専念できることが大きなメリットです。
ただし、先述したように新しいガイドラインでは、外部委託した場合でも病院側の責任が問われることになっています。そのため、信用できるベンダーを選ぶことが大切です。
JBCCでは、豊富な経験を持つセキュリティ専任技術者が、お客様のニーズに合わせたセキュリティ対策をサポートする「マネージドセキュリティサービス」を行っています。
▼マネージドセキュリティサービス
https://www.jbcc.co.jp/products/solution/sec/mss/
JBCCでは、ゲートウェイやネットワーク、エンドポイントなど、さまざまなセキュリティ対策を支援。セキュリティは常に最新にしていくことが望ましいですが、そうしたセキュリティの変化にも対応いたします。
まとめ
病院セキュリティの強化には、基本であるガイドラインを遵守すること、ニュースや研修などでインシデントやセキュリティの知識を十分に身に付けておくことが大切です。
加えてセキュリティ強化では、バックアップを適切に取得しておくことも重要な対策のひとつです。特に注意したいのは「ただバックアップを取る」のではなく「適切に取得しておくこと」。適切にバックアップを取っておかなかったことにより、バックアップを取っておいたにも関わらず、非常時には使えなかったという事例も報告されています。
JBCCでは「Veeam Availability Suite」「EcoOne」などで、非常時に備えるバックアップや、参照できる情報資源の確保も確実に実行できます。
▼Veeam Availability Suite
https://www.jbcc.co.jp/products/solution/pfs/cloud/veeam_availability_suite/
▼EcoOne
https://www.jbcc.co.jp/products/solution/iaas/ecoone/
ガイドラインの変更内容や病院向けの技術的対策は、下記資料で詳細をご覧ください。
▼ 増加の一途をたどるサイバー攻撃。ランサムウェア対策、できていますか?
https://www.jbcc.co.jp/download/sec/medicalsecurity/dlform.html
