医療機関に求められるサイバー攻撃対策

By マイクロソフトエンタープライズチーム

2022年3月9日

マイクロソフトは、昨今急増しているサイバー攻撃に対し、各種セキュリティサービスをご提供しております。本稿では、医療機関様にマイクロソフトのセキュリティサービスがどのように貢献できるのか、技術的な視点も含めてご紹介いたします。

日本マイクロソフト株式会社医療・製薬営業統括本部
北原大毅

医療機関のセキュリティ被害

2021 年、医療情報システム (HIS) は多くのサイバー攻撃に見舞われました。

2021 年 9 月、愛知県豊田市の病院がランサムウェアの被害を受けて、電子カルテが利用できなくなりました。その翌月には、徳島県の町立病院で同じくランサムウェア感染があり、約 85,000 人の患者情報にアクセスできなくなったと報じられています。この 2 つの被害では、電子カルテが復旧するまでの 1～2 か月の間、新規患者や救急搬送の受け入れ停止、手術への支障、紙カルテの運用等、診療業務に多大な影響がありました。徳島県の病院ではシステム再稼働に約 2 億円がかかりましたが、ランサムウェアの暗号化がバックアップデータにまで及んでいたとされ、過去の診療データは復旧できなかったそうです。

上記以外にも、2021 年から現在までに報道されているだけで 4 つの病院にランサムウェアの被害が出てしまいました。2021 年度末には、医療 ISAC から都立の 2 病院が国際ハッカー集団の標的になっていると報告されるなど、今まさに医療機関がサイバー攻撃に晒されていると言えます。

行政の対応

このような状況を受け、行政の動きも出てきています。1 つは「医療情報システムの安全管理に関するガイドライン」の改訂です。ランサムウェア被害がバックアップデータにまで及んでしまう対策として、「バックアップの世代管理」や「バックアップデータをネットワークから切り離して保管すること」等について記載することが検討されています。もう 1 つは、2022 年の診療報酬改定です。1 月 26 日に公表された改定案には、診療録管理体制加算の取得要件に、400 床以上の医療機関は「非常時に備えた医療情報システムのバックアップ体制を確保することが望ましい」という項目が追加されています。

2022 年 4 月施行の改正個人情報保護法には、個人情報取扱事業者に対し個人データの漏えい等が発生した場合の報告義務および本人に対する通知義務が新設されました。これらの行政対応によって、一部の医療機関はバックアップの構成やサイバー攻撃対策に関して、何らかの見直しを迫られる可能性が出てくるでしょう。

医療機関に求められる対策

大半の HIS は閉域ネットワーク内に構成されていますが、「ベンダーからの VPN 接続によるリモートメンテナンス」「地域の病院との患者情報送受」「研究用データの出力」などの特例的なインターネット接続により、完全な閉域とは言えない形で運用されています。そのような状況下でも前述のようなセキュリティリスクを低減するために、医療機関はどのような対策ができるのでしょうか。

対応策の検討には、厚労省からの事務連絡でも参照されている「ランサムウェアによるサイバー攻撃に関する注意喚起」が参考になります。この文書では「予防」「検知」「対応・復旧」の 3 つの観点での対策の必要性が唱えられており、その観点毎の対策を、「感染防止」と「被害軽減」で整理したものが下表です。

以下、各項目についてご説明しながら、マイクロソフトのサービスをご紹介させていただきます。

(1-1) セキュリティパッチの迅速な適用

大半の一般企業では当然のように実施されているのですが、こと医療機関ではなかなかハードルが高いのがこの「セキュリティパッチの迅速な適用」です。電子カルテをはじめ複数の部門システムが同居しているHIS端末は、パッチ適用によって一部のアプリケーションが動作しなくなる可能性があり、初期導入から利用終了までの数年間、パッチを適用しない方針で運用されているシステムも少なくありません。

このような背景もあり簡単ではありませんが、HIS の更新時にパッチを速やかに適用できるようなシステム構成、運用、保守を前提とした仕様にする必要があるでしょう。たとえ限定的でも、インターネット接続が行われる診療系ネットワークのセキュリティ対策において、パッチの適用は最も基本的かつ必須の対策となりますので、ぜひご検討ください。

(1-2) 不要なポートやサービスの無効化

閉域ネットワーク上に HIS を構成している病院が大多数だと思いますが、リモートメンテナンス用の VPN 機器など、外部からアクセス可能になっている機器について、ネットワーク上からの管理機能や不要なポートを閉じているか等の確認が必要です。また、万が一感染した場合に被害を拡大させないためにも、診療系ネットワーク内の端末やサーバーにおいて、SMB (ファイル共有) や RDP (リモートデスクトップ) については、必要最低限のポート開放とするべきでしょう。

(1-3) ウイルス対策ソフトの導入と最新化、定期スキャンの実行

ウイルス対策ソフトは導入済みの医療機関が多いかと思いますが、端末故障の際に入れ替える予備の HIS 端末など、長期間利用のない端末についても、利用前にはウイルス対策ソフトの最新化が必要です。

マイクロソフトは、Windows に標準で備わっているウイルス対策ソフト Microsoft Defender をご提供しておりますので、ぜひご利用ください。

(2) ランサムウェア対策としてのバックアップ

バックアップはその目的によって、データをどのように保管するかが異なります。一般的に実施されているバックアップは、ハードウェア故障への対応を目的としたものなので、HIS の各サーバと同じネットワーク内に保管されているでしょう。また、災害時のデータ保全や BCP の目的では、遠隔地へバックアップデータがコピーされるかと思います。

ランサムウェア対策を目的とするバックアップでは、次の 2 点を考慮する必要があります。

1 点目は、ランサムウェアがバックアップしたデータにも感染してしまうため、ランサムウェアがアクセスできない保存先へのデータコピーすることです。これは、テープ媒体へのバックアップや、クラウドストレージへのバックアップが有効な手段となります ^(※1)。物理的な遠隔地へのバックアップは、その保存先が診療系ネットワーク内からアクセスできてしまう場合には、ランサムウェア対策としての効果はないので、注意が必要です。

2 点目の理由は、バックアップの世代管理です。ランサムウェアは身代金支払の可能性を上げるため、バックドアの設置や情報の窃盗が済んだ後ではじめて感染を発覚させます。このため、感染に気が付くまでの間はウイルス感染したデータをバックアップすることになってしまいます。感染発覚後、感染前のバックアップデータに戻す必要があるのですが、バックアップの世代管理がなされていない、あるいは数日程度の世代管理しかしてない場合には、感染前のデータには戻せない可能性があるのです。

マイクロソフトでは、クラウド型のバックアップサービスである Azure Backup をご提供しており、オンプレミスシステムのバックアップに利用できます。バックアップ用のデータ転送エージェントを介して Web-API でデータ転送を行うため、ランサムウェアによって暗号化されてしまう可能性は低く、また最大 9,999 世代のバックアップ取得が可能となっています。バックアップデータの退避コピー先として Azure Backup のご活用をぜひご検討ください。

^{(※1) クラウドストレージへのデータ転送は一般的に Web-API が利用されるので、一度バックアップされたデータがランサムウェアによって暗号化されてしまう可能性は低いと考えられ、ランサムウェア対策として有効と言えます。}

(3) ログ監視の強化

不正アクセスの兆候を検知するにはログ監視が有効ですが、サーバー、ネットワーク機器、PC 等のログを収集して監視・可視化仕組みとして SIEM (Security Information and Event Management) が活用できます。SIEM は、左記のようなさまざまな機器のログを突合して分析し、異常な動作や将来起こる潜在的なサイバー攻撃の予兆を察知してアラートを上げたり、管理者が見落としていたインシデントの痕跡や潜伏していたマルウェアを発見するソリューションです。SIEM でログを集約して分析することで、内部不正も含めて予兆段階での脅威の検知が可能になります。

マイクロソフトは、SIEM および SOAR (Security Orchestration, Automation and Response) ソリューションとして、Microsoft Sentinel をご提供しています。このサービスは、多様な機器からログを収集して、高度な脅威インテリジェンスを使って過去に検出されたことのない脅威までを検出し、調査や対処を Web 上から簡単に設定できます。また、さらにインシデントへの対応を自動化することによって、管理者の作業削減にも貢献いたします。

(4) EDR の活用

EDR (Endpoint Detection and Response) は、PC やサーバー等からログを収集して、不審な挙動やサイバー攻撃等をリアルタイムに検知し、迅速な対応を支援するソリューションです。この EDR は、既存のセキュリティソリューションでは、高度化するサイバー攻撃を完全に防ぐことはできない現状に対し、侵入されても迅速に検知・対応することで被害を最小限に抑えることを目的としています。

マイクロソフトでは、Microsoft Defender for Endpoint という EDR サービスをご提供しております。同サービスは、マルウェアの侵入を迅速に検知して自動対応を行う EDR 機能の他に、システム全体のセキュリティレベル向上を支援するセキュリティ状況のスコア化機能や、特定パターンのプログラム動作やリスクのある Web アクセスをブロックする機能等を持っています。また、Office365 や Microsoft Sentinel と連携することによって、脅威やインシデントを一元的に管理していただけます。

(5) サイバーセキュリティトレーニング

HIS を利用する全ユーザに対し、セキュリティ意識を高めて対策の習慣づけを行うサイバーセキュリティトレーニング実施が推奨されています。継続して教育を行うことによって、許可されていない USB メモリの利用や、標的型攻撃メール内の URL をクリックする可能性を低くすることができます。

マイクロソフトは、Microsoft 365 E5 または Microsoft Defender for Office 365 Plan 2 で、疑似攻撃トレーニングをご提供しています。定期的なトレーニングを行うことによって、職員の皆様のセキュリティレベル向上を支援いたします。

(6) 対応手順、業務継続計画、連絡体制の整備

万が一サイバー攻撃の被害が発生した場合の対応手順や業務継続計画が適切に策定されているか、その被害を組織内外に迅速に連絡できるように連絡体制が確立されているか、確認が必要です。

マイクロソフトのセキュリティサービス

マイクロソフトは、今後の 5 年間で情報セキュリティへ 20 億ドル投資することを発表しています。これは、お客様に安心してクラウドをご利用いただくには「安全」が必須だと考えているためです。この投資のもと、マイクロソフトでは 1 日 24 兆件以上もの不審な動き等といったシグナルを受信し、それを 8,500 名以上のセキュリティ専門家が AI を活用して分析することによって、お客様のセキュリティを日々アップデートしています。このような投資や膨大な数のセキュリティシグナルへの対応が、マイクロソフトのセキュリティを最高水準に引き上げています。

また、マイクロソフトは Windows にビルトインされた形でセキュリティをご提供しています。Windows には最初からセキュリティ機能が含まれており、ライセンスを有効化するだけで利用することができます。OS に組み込まれた形で機能しているので、後からインストールするウイルス対策ソフトと異なり処理負荷が非常に低く、プロセス停止やサービス停止等の攻撃への防御力が高いといった特徴もあります。