社会のデジタル化が急速に進む一方で、「サイバー攻撃」のリスクも高まっている。昨年10月には徳島県のつるぎ町立半田病院が「身代金ウイルス」の被害に遭い、診療機能が2カ月にわたって麻痺する事態も起きた。「出入口対策」やデータバックアップの「321ルール」など、具体的な様々な備え、対策を打つことは重要。そして病棟看護業務のIT化を進めているサスフォーユー代表取締役の川添大悟氏は「最も大事なのは病院経営者の危機意識」と訴える。
川添大悟・サスフォーユー代表取締役
「ランサムウェア」で病院が機能不全に
─ 近年、様々な企業が「サイバー攻撃」の脅威にさらされていますが、病院も例外ではありません。2021年10月には半田病院(徳島県)がデータの復元と引き換えに金銭を要求する「ランサムウェア」(身代金ウイルス)に感染、病院の電子カルテシステムが使用できなくなり、2カ月にわたって機能不全に陥るという事態も起きました。病院はサイバー攻撃に対して、どの点に気をつければいいのか、聞かせて下さい。
川添 サイバー攻撃への備えという意味では、まず重要なのが「出入口対策」です。その中でも最重要なのが「VPN機器」です。
VPNとは「Virtual Private Network」の略で、インターネット上に仮想的な専用網を設置し、データをやり取りする通信方式を言います。距離が離れた拠点でも、専用線を用意せずに、同じような通信品質を実現できるとして、多くの企業が導入しています。
この出入口となるのがVPN機器ですが、この機器を動作させるためのプログラム(ファームウェア)をアップデートせずに古いまま放置していると、それがセキュリティホール(脆弱性)になってしまう恐れがあります。その〝隙〟をハッカー集団が突いてくるわけです。
─ 機器のアップデートを怠るとハッカーに狙われやすくなると。このことは技術者はわかっているわけですか。
川添 技術者(病院のシステム管理者)はわかっているのですが、病院の経営層となると、どうしても疎くなってしまっているという現状があります。
ここではっきりさせておいていただきたいのが、この機器のファームアップの作業を誰が担っているのかです。例えば外部のベンダーに依頼をしているのであれば、通常の保守契約の範囲内で対応をしてくれるのかどうか。これはすぐにでもご確認いただきたい点です。
もう1つ、出入口対策として気を付けるべき点は「UTM」(Unified Threat Management=統合脅威管理。複数のセキュリティ機能を1つに集約して運用するネットワークセキュリティ対策のこと)を導入していただきたいということです。
従来は「ファイアウォール」が不正アクセスを防御する役割を担っていましたが、最近ではファイアウォールだけでは防ぎきれない状況になっています。そこにUTMを使えば、ファイアウォールの防御機能はもちろんのこと、不審なメール、不正アクセス、その他諸々のウイルスなどを総合的に検知・ブロックできるのです。
─ そもそもハッカーはどのような手段で侵入して来るんですか。
川添 初期段階ではまず、「闇サイト」、「ダークウェブ」と呼ばれるサイトでターゲットを事前調査します。そこには、例えばターゲットとなる病院から抜かれている情報を確認することができるわけです。
ターゲットの情報を調べたら、次に内部活動に入ります。実際にターゲットとなる病院のネットワーク内に侵入して、内部のサーバーなどを調べます。その次にはデータを暗号化し、身代金要求の情報を送りつけていくわけです。
その際に、先ほどお話したような脆弱性があると一気に侵入されてしまいますから、先ほどの2つの出入口対策が重要です。
その次に内部対策として、こちらも機器が重要になります。1つはトレンドマイクロの製品ですが、「DDI」(Deep Discovery Inspector=広範囲にわたる検出)というネットワーク監視装置があります。これを院内のネットワークに設置することで万が一侵入された場合でも、不審な通信が社内で発信されていないかを可視化することができます。
もう1つが「RADIUSサーバー」を院内のネットワークに導入することです。これは、一言でいえば「認証サーバー」です。ネットワークに入る際に認証をかける「関所」のようなイメージになります。
その次の対策が「エンドポイント対策」です。これは末端対策、つまり機器面での最後の対策ということになります。
まず重要なのが、病院内に設置されているサーバーやパソコンのOSを常に最新化しておくことです。例えば電子カルテシステムを導入していると、その電子カルテベンダーとしては、電子カルテサーバーや電子カルテ端末の安定稼働の観点から、OSをアップデートして欲しくないという考えを持っています。ですから、アップデートに二の足を踏んでいる間にハッカー集団に侵入されてしまうケースもあります。
末端対策の2つ目です。パソコンにウイルス対策ソフトをインストールしている方は多いと思いますが、そうだったとしても「パターンファイル」(定義ファイル)と呼ばれる物を常に最新化しておかないと、ウイルスに感染するリスクが高まります。これは基本中の基本ですから、漏れなくやっていただきたい対策です。
─ これらの対策には、やはり経営者レベルでの問題意識の設定が非常に重要ですね。
川添 そうです。さらに次の対策は「備え」です。厚生労働省は医療機関に対して「医療情報システムの安全管理に関するガイドライン」を出していますが、改めて各病院には、このガイドラインを遵守して欲しいと思います。
このガイドラインの第6章に、サイバー攻撃に関することが書かれていますので、これを遵守するとともに、是正の対策を打っていただきたいと思います。
病院としては、このガイドラインに基づいて、病院内独自の「情報セキュリティポリシー」を策定していただきたいですね。これを策定した上で、院内や関係業者含めて守っていくことを徹底する必要があります。