メール
メニュー

ランサムウェアから情報を守る!病院に不可欠なセキュリティ対策とは?

2022.03.10

システムやデータをロックし、代わりに金銭を要求するランサムウェア。近年この標的にされているのが、繊細な情報を扱う病院です。患者さまのためにも情報やシステムは守る必要がある。しかし、どう対策すべきか分からないという病院も多いのではないでしょうか。

本記事では、厚生労働省の発表するガイドラインをメインに、病院に必要なセキュリティ対策をご紹介します。



急増するランサムウェアの被害

毎日のようにサイバー攻撃が仕掛けられている昨今、特に増えているのが、ランサムウェアの被害です。警視庁の発表によると、2021年上半期(1月~6月)のランサムウェアによる被害報告は61件。2020年4月~12月の被害報告が23件だったことを考えると、短期間で3倍程度に増えたことになります。


特に病院は、患者さまのセンシティブな情報を所有していることから「データを取り戻すために身代金を払ってくれる可能性が高い」と認識されています。そのため、標的にされやすいのです。実際2016年以降、ランサムウェアの被害に遭った病院は、分かっているだけでも11施設あるとされています。


病院のシステムがランサムウェアによって利用できなくなると、受け入れる患者さまに制限を設けたり、予定していた手術を中止したりせざるを得なくなり、場合によっては命に関わる危険性もあります。また、病院自身も診療の中止による経営状況の悪化、システムの再構築やデータ復旧のために高額な負担が生じます。こうした事態を招かないために、病院のセキュリティ対策は非常に重要です。



医療情報システムの安全管理に関するガイドライン 第5.1版

病院のランサムウェアによる被害は、国も懸念しています。厚生労働省では「医療情報システムの安全管理に関するガイドライン」*1を発表し、注意喚起を行っています。このガイドラインには、医療に従事する責任者や情報システム管理者が、最低限守るべきセキュリティ対策、意識が記載されています。医療機関は、これに沿ってセキュリティ対策を進めると良いでしょう。


令和3年1月に更新された第5.1版は「改正個人情報保護法」や、サイバー攻撃の多様化・巧妙化への対応など、主に以下の4点を追加しています。



1. クラウドサービスへの対応
2. 認証・パスワードの対応
3. サイバー攻撃等による対応
4. 外部保存受託事業者の選定基準対応



1.クラウドサービスへの対応

ガイドラインではクラウドサービスへの対応として「責任と管理監督の所在を明らかにすることが大切である」と述べています。サービスを提供する事業者が1社のみの場合は、サービス提供にかかる責任を提供している企業が負います。しかし、複数の企業からクラウドサービスの提供を受け、かつそれらの企業同士が連携している場合には、どこがどこまで監督と責任を負うのかを取り決めておきましょう。
これを明確にしておかないと、トラブルが起こった際に原因の究明や対策に遅れが生じる可能性があります。



2.認証・パスワードの対応

認証・パスワードの対応については、特に二要素認証を強く推奨しています。厚生労働省としては、令和9年度の段階で稼働している医療関連のシステムは、二要素認証の導入を推奨しています。
二要素認証の導入には、情報収集や導入のためのコストなど、時間やお金が必要です。今からでも利用を検討した準備を進めておきましょう。



3.サイバー攻撃等による対応

サイバー攻撃等による対応としては、攻撃に対する体制の整備と連絡を行うように定めています。一定規模以上、もしくは地域において重要な医療機関では、情報セキュリティに関する責任者を設定し、サイバー攻撃を受けた場合の緊急体制を整備することとしています。
加えて、万一サイバー攻撃を受けた場合には、所管官庁への報告が要請されています。報告のための体制も事前に整えましょう。



4.外部保存受託事業者の選定基準対応

外部保存受託事業者の選定基準対応では、アウトソースする場合に確認すべき項目や認証が具体化されています。
クラウドサービスのような外部事業者にデータの預ける場合には、セキュリティ対策が高度であることはもちろん、総務省・経済産業省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に準拠しているかも確認しましょう。


なお、医療情報システムの安全管理に関するガイドラインは、簡潔にまとめられた読本もあります。概要を理解したい方は、こちら*2を参照してください。



ガイドラインにおけるポイント

上記のガイドラインでは適切なセキュリティ対策のために、以下4つのポイントがあるとしています。


「組織的安全管理対策」

安全管理における従事者の権限と責任を定義、ルールやマニュアルの整備、リスク予防


「物理的安全管理対策」

 個人データの盗難や紛失の防止、入退管理・記録


「技術的安全管理対策」

 個人データや医療情報システムへのアクセス制御、不正ソフトウェア対策等の技術的な安全管理措置


「人的安全管理対策」

 従業者による情報の盗難や不正行為、不正利用等の防止


これら4つの対策のそれぞれに必須事項と推奨事項がありますのでまずは必須事項に対応する必要があります。

とはいえ、自院がどこまでこの項目に対応できているか、調査し可視化できているお客様は多くはないのではないでしょうか。

まずは現状の可視化を行うことが重要であり、最初に行うべき作業と言えるでしょう。



現状の可視化

病院が適格なセキュリティ対策を行うには、まずはガイドラインに沿っているか、現状を可視化することが大切です。
可視化するには、一般社団法人医療情報安全管理監査人協会の「医療情報システムの安全管理に関するGL適合性チェックリスト」*3が便利です。


このチェックリストはガイドラインに準拠した内容になっており、先述した4つのポイントのほかに、ガイドラインで推奨されている項目がクリアできているかを確認できます。


自院で行う時間がない場合や、セキュリティ対策に自信がない場合には、可視化をサポートする外部サービスを利用する方法もあります。JBCCの「セキュリティドクター診断サービス」は、JBCCのSEがお客様から直接お悩みを聞いて、セキュリティの問題点を見つけ出すサービスです。可視化のための問い合わせや御見積、選定などの手間を省きながらも、各医療機関に合わせたセキュリティ対策をご提案いたします。




JBCCがサポートしたセキュリティ対策の事例


【お客様情報とセキュリティの課題】

・ 病床数約250の総合病院
・ 情報系と医療情報システムのネットワークが物理的に分離している
・ 個人情報保護対策がしたい
・ 標的型攻撃対策を行いたいが、何から行えば良いか分からない
・ 職員のITリテラシーを向上させたい


【JBCCからのご提案サービス・ソリューション】

・ 「セキュリティドクター診断」で課題を可視化し、段階的に対策を実施
・ 次世代エンドポイントセキュリティ製品への入替
・ 職員向けの情報セキュリティ教育と標的型メール訓練


【上記サービスをご提案した理由】

・ 既存のエンドポイントセキュリティでは昨今のマルウェアを防げない
・ 医療情報系のシステムはセキュリティパッチが更新されていない
・ 頻繁に情報系と医療情報システム系で可搬媒体によるデータ交換を行っている
・ 標的型メールが巧妙なため職員が誤って感染してしまう可能性が高い
・ 職員に対する情報セキュリティ教育が未実施かつ、情報セキュリティに関する知識レベルが把握できていない


病院のご担当者さまは、情報系セグメントのメールセキュリティが優先と考えられていましたが、JBCCではエンドポイントセキュリティに重点を置くようにご提案いたしました。

なぜなら、近年のサイバー攻撃は非常に巧妙化しており、侵入を100%防ぐことは不可能なためです。そこで侵入されても情報を守れるよう、最後の砦であるエンドポイントセキュリティを最優先で強化することにいたしました。


このほか、職員向けの教育や標的型メール訓練も取り入れ、「組織的」「技術的」「人的」な安全管理対策を行っています。



まとめ

「医療情報システムの安全管理に関するガイドライン」は、医療の現場をサイバー攻撃から守る非常に重要なものです。病院でのセキュリティ対策は、このガイドラインに沿っているかを確認しながら行い、管理・運用していくことで適切になっていくでしょう。

JBCCでは、病院のセキュリティ対策に役立つサービスをご提供しています。セキュリティ対策にお悩みの方は、ぜひご相談ください。



JBCCでは今回のテーマに関して、以下のセキュリティサービスでお客様の運用をご支援しています。
お気軽にご相談ください。

セキュリティドクター診断サービス

https://www.jbcc.co.jp/products/solution/sec/visual/platform_diagnose/securitydoctor/

標的型メール訓練サービス

https://www.jbcc.co.jp/products/solution/sec/mail_atk_training/


<参考>
*1医療情報システムの安全管理に関するガイドライン 第5.1版
https://www.mhlw.go.jp/stf/shingi/0000516275.html


*2医療情報システムを安全に 管理するために(第 2.1 版)

「医療情報システムの安全管理に関するガイドライン」 全ての医療機関等の管理者向け読本
https://www.mhlw.go.jp/content/10808000/000730555.pdf


*3医療情報システムの安全管理に関するGL適合性チェックリスト
http://www.imisca.jp/index.php?checklist5.0

お問い合わせはこちらから矢印