システムやデータをロックして身代金を要求する「ランサムウェア」の被害は、ここ数年増加し続けています。特に病院ではシステムやデータが使用できなくなると人命にかかわるため、被害が大きくなりやすい傾向にあります。そのため、セキュリティを強固にして情報を守ることが非常に大切です。 本記事では、ランサムウェアから情報を守るための具体的対策を、厚生労働省のガイドラインの内容を含めながらご紹介します。
目次
拡大するランサムウェアの被害
令和2年以降、ランサムウェアの被害は、拡大し続けています。警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年のランサムウェアによる被害は197件で、前年よりは少なくなったものの高い水準で推移しています。197件のうち、130件はデータを暗号化した上で「公開されたくなければ金を払え」と要求する二重恐喝でした。また、近年では、暗号化しないで金銭を要求するノーウェアランサムも増えています。
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威2024 組織編」でも「ランサムウェアによる被害」が2021年以来、1位を保っています。
病院で想定される被害
先述した警察庁の資料では、医療・福祉でランサムウェアの被害に遭ったのは10件のみでしたが、業務の性質上、被害が深刻になりやすいです。
病院で扱っている情報は患者の健康情報であるため、仮に電子カルテや院内LANが使用できなくなると、患者の命や健康に関わる可能性があります。復旧に時間やコストがかかると経営にも響く上、セキュリティに問題点があれば、行政処分や賠償、法的責任などを問われることにもなりかねません。
2023年には大阪府の病院でランサムウェアによる被害が発生。データを暗号化されて使用できなくなり、患者の受入を制限せざるを得なくなりました。復旧には2ヶ月程度かかり、逸失利益を含めると億単位の被害になると言われています。
こうした被害があるにもかかわらず、病院ではセキュリティ対策が進んでいません。厚生労働省の調査では、電子カルテのオフラインバックアップを行っているのが49% 、脆弱性対策が44%、BCP対策に至っては、23%の病院でしか実施されていませんでした。
▼「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(厚生労働省)
https://www.mhlw.go.jp/content/10808000/001100095.pdf
患者に安心して通ってもらうためにも、病院では早急なセキュリティ対策が求められています。
医療情報システムの安全管理に関するガイドライン第6.0版
ランサムウェア等のサイバー攻撃に対処するため、厚生労働省では「医療情報システムの安全管理に関するガイドライン(以下:ガイドライン)」を定めています。このガイドラインは、医療機関等が遵守すべき法令等の要件を満たすための実行指針で、かつ情報資産を継続的に保護するために作られています。
ガイドラインに記載されているのは、病院の経営者を含む電子的な医療情報の取り扱いに関わる責任者が守るべきセキュリティ対策や意識などです。ガイドラインを遵守することによって、安全性の高いシステムとなります。
ガイドラインは2005年に第1版が策定され、2023年5月に第6.0版となりました。ここからは、第6.0版における改定内容をご紹介します。
1.責任の明確化
2.ゼロトラスト思考と非常時の対策
3.オンライン資格確認の導入が義務化
【改定点1】責任の明確化
第6.0版のガイドラインでは、電子的情報を保護する際の責任が明確化されました。
これまで病院側のサイバーセキュリティに関しては、経営者はあまり関わることがなく、システム管理者に丸投げされる傾向にありました。しかし、ランサムウェアなどの攻撃によって、新規患者の受入ができなくなったり、効率や質が落ちたりすれば、経営に直接かかわる問題となります。
第6.0版では「概説編」「経営管理編」「企画管理編」「システム運用編」と4つに分け、担当者ごとにすべき対応が明示されています。これにより、経営陣も自院のシステムやセキュリティを把握し、サイバーセキュリティやBCP対策への意識を高め、指示を行うことを求められるようになります。
加えて、外部委託や外部サービスを利用する場合、責任の所在や契約内容などを明確に整理することも必要だとされています。第6.0版では、委託先や外部サービスを利用した場合でも、利用のリスクがあることを病院側が理解し、監督する責任があると明記しています。
【改定点2】ゼロトラスト思考と非常時の対策
2つ目の改定点はゼロトラスト思考と非常時の対策です。
以前は「院内ネットワークであれば安全」という意識がありました。しかし、近年はサイバー攻撃が高度になっており、組織などを中心にシステムの脆弱性を狙った攻撃が増えています。そのため「院内ネットワークも外部ネットワークも不正にアクセスされる可能性がある」というゼロトラスト思考を持って、対策を行うことが大切です。
またBCP対策も、複数の非常場面を想定し、場面ごとに違う対策を用意しておくことが推奨されています。例えば、障害やランサムウェアによる攻撃を想定してバックアップを取っていても、災害によってバックアップを保管しているデータセンターが被害を受けてしまったら意味がありません。災害を想定した対策、サイバー攻撃を想定した対策、障害を想定した対策など、さまざまな非常事態を想定して、非常事態ごとの対策を講じておきましょう。
【改定点3】オンライン資格確認の導入が義務化
第6.0版には「オンライン資格確認の義務化」についての対応も記載されています。
保険医療養担当規則の一部改正により、保険医療機関では2023年4月1日からオンライン資格確認の導入が義務化となっています。オンライン資格確認を導入すると、患者さまの医療や保険の情報が分かり、事務作業が効率化しますが、一方で個人情報を守るための情報管理が重要です。第6.0版にはそのための具体的な対策などが盛り込まれています。
また新しいネットワークや法令、新技術の今後の可能性なども記載されました。
▼医療情報システムの安全管理に関するガイドライン第6.0版
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
病院が行うべきセキュリティ対策
先述したように、病院は特に強固なセキュリティ対策が求められています。ここからは病院が行うべきセキュリティ対策をご紹介します。
基本的なセキュリティ対策の実施
まずは基本的なセキュリティ対策を実施しましょう。基本的なセキュリティ対策とは、パスワードの管理、セキュリティ対策ソフトの導入、バックアップ、アクセス制御などです。
パスワードは設定基準を定めて、推測されにくいものにしましょう。多要素認証などを導入すると安全度が高まります。
脆弱性対策を行う
脆弱性対策は、病院のセキュリティ対策として急務と言えます。先述した警察庁の資料によると、令和5年のランサムウェアの被害の内、VPN機器からの侵入が73件で63%、リモートデスクトップからの侵入が21件で18%と、リモートワークなどにおける機器の脆弱性を狙ったものが多くありました。
脆弱性対策の基本はOSやファームウェアを常に最新に保つことです。また脆弱性情報のチェックも大切です。現在は、脆弱性を診断して知らせてくれるサービスもあるため、こうしたサービスを利用するのも良いでしょう。
職員にセキュリティ教育を施す
病院のセキュリティ対策では、職員のセキュリティリテラシー向上のため、教育も大切です。どんなにセキュリティ対策を施しても、システムを利用する職員の意識が低ければ、セキュリティ事故が起こってしまいます。実際にこれまで病院で起こっている事故の中には、職員が私物のパソコンを利用したために起きた事例や、メールに添付されていたファイルを開いたためにマルウェアに感染した事例などがあります。
自院で研修を行ったり、外部セミナーに参加したりして、職員へのセキュリティ教育を行いましょう。eラーニングなどを利用して自由な時間に学ぶ方法もあります。職員の働き方にあった方法を選びましょう。
また、セキュリティリテラシーは、1度の研修では身に付きません。その後も繰り返しトレーニングを行うなどして、セキュリティ対策を「日常」にしていくことが大事です。
BCP対策を行う
病院のセキュリティ対策として行っておきたいのが「BCP対策」です。BCP対策とは「Business Continuity Plan」(事業継続計画)のことです。ただし、病院の場合は一般的なBCPとは計画内容が異なるため「Medical Continuity Plan」(医療継続計画)と呼ばれて区別されることもあります。
病院は災害などの緊急時に求められる場所であり、災害時でも平時と同じ医療サービスを提供できるよう努めなければなりません。そのためには、定期的なバックアップや災害に強いサービスなどを選び、緊急時でも問題なく病院が機能するようにしておく必要があります。BCP対策をしておくと、ランサムウェアのようなサイバー攻撃を受けた場合でも、早期の復旧が可能になります。
なお、病院のBCP対策は、緊急時でも医師やスタッフを確保できる体制づくり、水道・電気・通信の確保、建物の耐震強化なども必要です。
セキュリティ事故への対応体制を整える
病院では、インシデントが起こった場合の対応体制を事前に整えておきましょう。連絡体制やバックアップ状況、復旧の手順などをマニュアル化してまとめておきます。事前に体制を作っておくことで、いざというときに慌てずに対処できます。
実際、ある病院ではランサムウェアに侵入されて院内LANや電子カルテが使えなくなりましたが、バックアップを取っていたために早期に復旧できました。なお、基本的にインシデントが起こった場合は、厚生労働省に報告が必要です。
クラウドサービスを利用する
クラウドサービスを利用するのもセキュリティ対策に効果的です。電子カルテなどをクラウドサービスにすることで、データをクラウド上に残すことができ、万一のときも復旧がしやすくなります。またクラウドサービスではセキュリティや脆弱性への対策は、基本的にサービス提供側が行ってくれるため、プロの施した高いセキュリティレベルのシステムを利用できます。
特に病院は診療業務とシステム管理を職員が兼業で行っていることも多く、オンプレミスだと担当者の負担が大きい上に、担当者のセキュリティリテラシーがシステムに大きく影響します。クラウドサービスなら担当者の負担も減らせる上、セキュリティレベルが属人化しません。ただしセキュリティの設定は自院で正しく行う必要があります。また、クラウドサービスなら、設計・構築から運用までベンダーに依頼することも可能です。
JBCCの「EcoOne」は運用付クラウドサービスで、設計や構築はもちろん、運用開始後のサイジングなども任せられます。
▼EcoOne
https://www.jbcc.co.jp/products/solution/iaas/ecoone/
病院のセキュリティ対策導入ステップ
病院のセキュリティ対策では、まずセキュリティ方針を決定してサービスを導入し、評価して改善を繰り返すことが基本となります。ここからは、病院のセキュリティ対策導入の手順をご紹介します。
①リスク分析とセキュリティ方針の決定
まずは自院のセキュリティ方針を明確にしましょう。厚生労働省のガイドラインに倣うことが基本になりますが、自院が所有する情報によってはより高いレベルのセキュリティが求められることもあります。現状を調査してリスク分析を行いましょう。
リスク分析が出来たら、リスクの解消方法を考えます。特に患者に迷惑がかかるものについては重要度が高く、早急に対処が必要です。
また、セキュリティ方針については、事前に職員に説明して理解を得ましょう。セキュリティ対策では、職員の業務負担が増えることになります。必要性と方向性を周知して、自分たちや患者を守るためであることを説明しましょう。
②導入するサービスの決定
セキュリティ方針決定後、解決方法にあったサービスを決めます。サービス内容やサービス提供事業者との相性、予算などのバランスを考えて選びましょう。
一度に行うことが難しい場合は、優先度の高いものから対応していきましょう。
③セキュリティ対策の実行
サービスを決めたら、実際に導入してセキュリティ対策を行います。
同時に職員に教育を施して、セキュリティに対する意識と知識を深めていきましょう。
④分析・評価・改善
セキュリティ対策を実行したら、効果を分析・評価して改善していきます。
セキュリティの脅威は非常に進化が速いため、定期的に自院のセキュリティ状態をチェックして改善しないと、簡単に被害に遭ってしまいます。PDCAを回して、改善を繰り返していきましょう。
また職員の意識も一朝一夕には変わりません。繰り返しセキュリティへの意識を促していくことで、職員のセキュリティ意識も高まっていきます。
強固な病院セキュリティのポイント
病院セキュリティは、強固であることが非常に大切です。ここからは強固なセキュリティにするためのポイントをご紹介します。
チェッ クリストを利用する
病院がセキュリティ対策を行う際は、厚生労働省が作成した「医療機関におけるサイバーセキュリティ対策チェックリスト」を活用しましょう。チェックリストはガイドラインに従った内容になっており、体制構築、医療情報システムの管理・運用、インシデント発生に備えた対応の3つについて、具体的な対応ができているかチェックできます。基本的には年度中にすべての項目が「はい」になるのを理想としていています。
また、チェックリストは都道府県等による立入検査の際に確認されます。詳細は下記のマニュアルをご覧ください。
▼令和6年度版医療機関におけるサイバーセキュリティ対策チェックリスト
https://www.mhlw.go.jp/content/10808000/001253950.pdf
▼令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリストマニュアル
https://www.mhlw.go.jp/content/10808000/001253953.pdf
サイバー保険・補助金を活用する
セキュリティ対策のコスト面で不安がある場合には、サイバー保険や補助金を活用しましょう。サイバー保険とはサイバー攻撃などで自院、もしくは患者などに被害があった場合に、調査費用や復旧費用、損害賠償などを補償してくれるものです。
保険料はプランの内容、業種や規模によって差がありますが、プランによっては億単位も補償できます。自院で行っているセキュリティ対策によってリスクが低いと判断されれば、保険料が割引される場合もあります。
一方、補助金はセキュリティ対策に利用できるものがあり、そうしたものを利用することでセキュリティ対策にかかるコストを抑えることが可能です。
代表的な補助金は「IT導入補助金」です。IT導入補助金では、毎年セキュリティ対策に利用できる補助金があります。2024年は「セキュリティ対策推進枠」で、補助率は1/2以内、補助額は5万円以上100万円以下となっています。
IT導入補助金では、支援事業者と協力して申請を進めていくため、適したツールを見つけやすいことがメリットです。
プロにセキュリティ対策を依頼する
自院でのセキュリティ対策が難しい場合には、プロに相談すると良いでしょう。自院で高いセキュリティ対策を行うには知識を持った人材育成が必要ですが、プロに任せれば専門的な知識とスキルで、セキュリティ対策を施してくれます。自院の職員が、本来の業務に集中できる点がメリットです。
ただし、事業者に丸投げは良くありません。外部委託した場合でも選んだ病院側の責任が問われるため、信用できるベンダーを選ぶことが大切です。
JBCCのマネージドセキュリティサービスは、セキュリティの監視・検知から適切な対応まで行っています。
▼マネージドセキュリティサービス
https://www.jbcc.co.jp/products/solution/sec/mss/
病院セキュリティ対策の導入事例
ここからは、JBCCのサポートでセキュリティ対策を行った病院の事例を2つ、ご紹介します。
次世代ファイアウォールとマネージドセキュリティサービスで万全のセキュリティ対策
三重県にある医療法人久居病院さまでは、電子カルテシステム「Psyche」を利用していましたが、システムのリプレースによってMicrosoft Azureを使い「blanc」へ移行しました。
この際に次世代ファイアウォールとマネージドサービス for EDR Plusを導入。許可時のみアクセスできる次世代ファイアウォールによって、安全性と利便性、どちらも確保しました。
安全性と利便性を両立したことで、地域医療の連携や訪問介護など、やれることも広がったそうです。
https://healthcare.jbcc.co.jp/casestudy/hisai.html
Microsoft Azureによるパブリッククラウドの構築で、災害に強いシステムに
愛知県の桶狭間病院 藤田こころケアセンターさまでは、オンプレミスの電子カルテシステムを利用していましたが、運用の負担軽減や災害対策の観点から、パブリッククラウドを採用することにしました。
Microsoft Azureによるパブリッククラウド構築時に、次世代ファイアウォールと、24時間365日の監視サービスを導入。より安全に利用できるよう、セキュリティ対策を徹底しました。
また東日本・西日本にリージョンがあるMicrosoft Azureでパブリッククラウドを構築したことで、災害にも強いシステムとなりました。
https://healthcare.jbcc.co.jp/casestudy/fujitakokoro2.html
まとめ
情報が人命にもかかわる病院では、基本的なセキュリティ対策はもちろん、職員の教育や災害に備えることも重要です。
JBCCではサイバー攻撃に対処するためのホワイトペーパーを配布しています。
▼増加の一途をたどるサイバー攻撃。ランサムウェア対策、できていますか?
https://www.jbcc.co.jp/download/sec/medicalsecurity/dlform.html
また病院向けにクラウドバックアップのセミナーも開催しています。BCP対策に不安やお悩みのある方は、ぜひご参加ください。
▼【医療機関様向けセミナー】クラウドバックアップのすすめ
https://www.jbcc.co.jp/event/2024/08/29/7292.html
