2022-3-15
医療機関へのサイバー攻撃が増加している。外部と接続していないはずの診療系ネットワークであっても, リモートメンテナンス経路などが「侵入口」となり,被害が発生している。医療機関の対策としては,経営層も巻き込み,医業経営の視点から取り組むことが求められる。さらに,ベンダーとリスクコミュニケーションをとり,周辺施設との互助で進めることで,限られたマンパワーを有効活用した対策が可能となる。
外部非接続の診療系ネットワークでもリモートメンテナンスなどが「バックドア」に
近年,医療機関へのサイバー攻撃が増加しています。特に,2020年から2021年にかけて発生しているランサムウエアの被害の多くは,感染経路がリモート・アクセス・ポイントであることが推定されています。このことを踏まえると,特に,医療機関をターゲットとしているわけではなく,リモート・アクセス・ポイントの機器のセキュリティホールが攻撃の対象になっていると考えています。なかでも,特定のメーカーの機器が活発にねらわれるケースが増えています。機器の脆弱性をついており,セキュリティの修正プログラムが提供されているものの,適用せずに放置してしまっているところをねらわれています。これは医療機関に限らず,公共機関や企業においても同様です。
医療機関の場合は,保守サービスとして医療機器や医療情報システムのリモートメンテナンスが行われるなど,外部からのアクセスルートが複数ある施設も多いのが実態です。これは医療機関の規模によらず,中小規模病院や診療所でも同様です。医療機関は診療系と業務系のネットワークが別になっていることが多く,診療系のネットワークは外部に開放せずに,Webブラウズや電子メールを利用できないという運用が一般的です。しかし,診療系のネットワーク上にあるシステムや機器に対するリモートメンテナンスはできるようにしている場合があります。それがいわゆる「バックドア」となり,不正にアクセスできる環境になってしまっています。被害に遭った際に,「インターネットにつないでいなかった」という言葉が出てくることがありますが,一般のPCでインターネットアクセス(Webブラウズや電子メールなど)できなくとも,特定の用途で外部接続可能なポイントが存在してるのです。それを正確に把握できていないのが問題だと思います。
医療機関におけるランサムウエア被害の事例としては,次のようなものがあります。リモートメンテナンスや遠隔読影システムのVPN機器のファームウエアが更新されていなかったため,攻撃者が認証情報を窃取し,正規のログインをして内部のシステムにアクセスしていました。さらに,サーバや端末のセキュリティ更新プログラムが適用されておらず,その脆弱性をついて攻撃されています。また,内部ネットワークでは,リモートデスクトップ接続の機能も悪用されています。もう一つの例としては,サーバなどのアクセスしやすいネットワーク上のストレージに改変できる状態でバックアップデータが保管されており,攻撃者に暗号化されてしまい,使用できなくなるケースもあります。
経営層を巻き込み,医業経営の観点から,サイバー攻撃対策を立てること
このようなサイバー攻撃対策のためには,ベンダーのサポートを受けるのが理想ですが,契約内容により難しい場合もあります。また,施設に情報セキュリティに精通した人材がいることが理想ですが,実際には医療機関だけでなく,民間企業でも人材を確保できていないのが現実です。大学病院や地域中核病院には専門家がいた方がよいとは思いますが,中小規模病院,診療所の場合,ベンダーが契約どおり納入・運用しているのかを「目利き」できる人材がいることが望ましいです。それが難しい場合は,常任ではなくても,すぐに相談できるアドバイザーのような存在を確保しておくとよいでしょう。例えば,現在は多くの地域で,基幹病院を中心とした地域医療連携システムが構築されています。このようなネットワークを基に,基幹病院の専門家がアドバイザーとなり,情報セキュリティにおいても連携する互助的な仕組みをつくるのもよいです。医療の場合,診療情報という機微な個人情報を扱うこともあり,情報セキュリティについて外部に相談しにくいかもしれませんが,身近な人の意見を聞いたり,専門家の支援を受けたりするのは大切なことです。
また,サイバー攻撃対策では,体制づくりや教育も欠かせません。厚生労働省の「医療情報システムの安全管理に関するガイドライン 第5.1版」では,一定規模以上の医療機関に,情報セキュリティ責任者(CISO)の設置を求めていますが,単に責任者を決めただけではあまり意味がありません。医療情報システム部門だけでなく,執行部がしっかり取り組むことが重要です。例えば,CISOを副院長が務め,研修会でサイバー攻撃対策などを話してもらうなど,経営者層を巻き込んで進めていくことが求められます。
一方で,サイバー攻撃対策として,情報セキュリティに対する診療報酬上の評価を求める意見があります。しかし,情報セキュリティは個人情報の保護のみならず,電子カルテなどのシステムや医療機器に対する脅威を取り除いて,安全に安定稼働させるためのものです。攻撃者が医療機関の内部に侵入してくることを前提に考えなければなりません。診療報酬での加算はありませんが,報道にあるとおり,実際に被害を受けた医療機関では,医療サービスの提供を停止し,非常に大きな損害を被っています。もはや電子カルテが稼働しなければ診療が成り立たなくなり,経営上のリスクになるという認識に切り替えないといけません。また,現時点でも,前述のガイドラインを順守することが施設要件となっている加算もあります。今後も,診療報酬の施設要件として,情報セキュリティを求める加算が増えていくことも考えられます。そうなったときに,対策が不十分なことによって,算定ができなくなる加算が生じる可能性があります。今後は,医業経営の観点からも,サイバー攻撃対策に取り組むことが重要になっていくでしょう。
リスクと対策を明らかにするためにベンダーとのリスクコミュニケーションが重要
サイバー攻撃対策でもう一つ大事なことは,ベンダーのリスクに対する認識です。これまでの医療機関に対するサイバー攻撃では,攻撃を受けた施設への風当たりが強くなっていました。しかし,実際にはベンダーの情報セキュリティリスクに対する認識が不十分なケースもあったと考えています。ベンダーにも,自分たちがステークホルダーであることを認識してもらわなければいけません。
総務省・経済産業省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」では,リスクコミュニケーションに言及しています。特に,これからはリスクアセスメントが重要になります。ベンダーにはシステムを納入するに当たり,リスクアセスメントを行い,その対応を含めて医療機関に説明することが求められています。また,医療機関も,どのようなリスクがあり,どのように対応するのか,どのように対策をしてほしいのかを,ベンダーに示してコミュニケーションをとることが大切でしょう。
ベンダーの協力や周辺施設との互助でマンパワーを有効活用した対策を
これまで医療機関にとってサイバー攻撃対策は受け入れにくいものであったと思いますが,社会問題になるほどビジネスリスクとして顕在化している以上,正しくそれを理解して,対策を考えなければなりません。ただし,それを自分たちだけですべてを行うには限界があります。対策そのものは個々の医療機関が行わなければなりませんが,そのための情報収集を含めてベンダーの協力や,周辺施設との互助によって,限られたマンパワーを有効活用して,取り組むことが重要です。そして,ベンダーがサイバーリスクや情報セキュリティに対する知識,ノウハウが十分ではない場合は,私たちトレンドマイクロのようなセキュリティ対策の専門ベンダーに相談してください。
(まつやま せいじ)
2011年トレンドマイクロ株式会社の営業部門にて医療機関を担当,以来一貫して医療分野の情報セキュリティ対策提案,パートナー協業活動に従事。同時に,日本医療情報学会や医療情報技師会,各地の研究会などで啓発活動に従事。厚生労働省・総務省・経済産業省などの医療情報分野の政策研究班,ガイドライン検討委員会などに協力。CISSP(Certified Information Systems Security Professional),CISA(Certified Information Systems Auditor),医療情報技師資格保有者。