ニューノーマル処方箋（第44回）医療機関を狙ったサイバー攻撃が増加中。どう防げば良いのか？

　なぜ、医療機関はサイバー攻撃の標的となってしまうのでしょうか？ 理由の1つに、医療機関はカルテなど個人情報を多く扱う機関であることが考えられます。

　先に挙げた大阪の病院の例でも、サイバー攻撃者は「暗号を復元したいなら、身代金を支払え」というメッセージをサーバーに残していました。サイバー攻撃者は、患者の医療情報が詳細に記載されたカルテを人質に取ることで、“病院側が人命を優先し、身代金を支払う可能性が高い”と考えているのかもしれません。

　このようにサイバー攻撃のターゲットとされつつある医療機関ですが、現場のサイバーセキュリティ対策は、あまり進んでいないようです。

　厚生労働省が2023年5月に発表した「『病院における医療情報システムのサイバーセキュリティ対策に係る調査』の結果について（病床別分析結果）」という資料によると、「サイバー攻撃などによるシステム障害発生に備えたBCP（事業継続計画）策定を講じている」と回答した医療機関は、全体の1/4以下のわずか23％でした。

　さらに、「電子カルテのオフラインバックアップを取っている」は49％、「関係事業者とのネットワーク接続点を全て管理下におき、脆弱性対策を実施した」は44％と、いずれも半分以下の割合という結果となりました。

厚労省がガイドライン更新。インシデントに対する事前対策が重要に

　このように医療機関のサイバー攻撃対策はいまひとつ進んでいない現状ではありますが、導入をサポートする動きもあります。

　例えば厚生労働省では「医療情報システムの安全管理に関するガイドライン」をアップデートし、最新バージョンとなる「第6.0版」を、2023年5月に発表しています。第6.0版では、サイバー攻撃やシステム障害といった非常時における対応や対策が追記されました。

　新しいガイドラインでは、医療機関が情報セキュリティインシデントの発生に対する備えとして、システム関連事業者や外部有識者などと非常時を想定した情報共有や支援に関する取り決め・体制の整備、通常時から医療情報システムに関係する脆弱性対策・EOS（※）に関する情報を収集し、速やかに対策を講じる体制作りが重要としています。

（※）EOS･･･製品やサービス、サポートの終了のこと。End of Sale（Support, Service）の略

対策が十分かどうか、チェックリストで確認

　厚生労働省は、ガイドラインに準拠したサイバー攻撃対策ができているかを確認できるチェックリスト「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」も公開しています。

　同リストでは、院内で使用するサーバーやPC、ネットワーク機器のセキュリティ対策や、サイバー攻撃を想定したBCPが策定されているかについてチェック項目を設けています。どう対策すればよいか分からない場合も、これらの項目をクリアすればよいでしょう。

　ガイドラインの「システム運用編」という資料では、ファイアウオールのような“境界防御”の思考によるセキュリティ対策では、高度化・多様化するサイバー攻撃によって侵入される恐れがあるとしています。対策として、外部・内部問わずすべてのトラフィックについての安全性を検証する「ゼロトラスト」を紹介しています。

[caption id="attachment_53208" align="aligncenter" width="600"] 従来のファイアウオールを用いたセキュリティモデル（左）と、すべてのトラフィックの安全性を検証する「ゼロトラスト」のセキュリティモデル（右）。
出典：BizClip[/caption]

 

　先に挙げた警察庁のデータによれば、医療機関に対するサイバー攻撃の被害件数は多いわけではありません。しかし、攻撃が苛烈になり、多くの医療機関が被害を受けた場合、日本の医療業界に大きな悪影響を及ぼす恐れも十分に考えられます。

　現時点では、サイバー攻撃対策が進んでいない医療機関も多いかもしれませんが、対策を怠ると患者の生命を脅かすことにもつながりかねません。新しいガイドラインを参照し、信頼できる医療ベンダーのサポートを受けるなど、早めに対策を進めておくべきでしょう。