リスク対策.com

サイバーレジリエンスが医療の高度化を支える
新しい医療ネットワークへの挑戦

ランサムウェアの猛威が止まらない。警察庁が把握しているだけで2022年度は230件の被害があり、前年度比で1.5倍以上に増えた。さまざまな業態の企業や団体がターゲットとなっているが、昨今、被害が目立つのは病院だ。先進的な医療ネットワークを構築し、IT化による医療業務効率の向上にいち早く取り組んできた倉敷中央病院の藤川敏行氏とセキュリティのエバンジェリストとして活躍する日立ソリューションズの扇健一氏が、これからのサイバーセキュリティについて話し合った。

株式会社日立ソリューションズ
企画本部
セキュリティマーケティング推進部 シニアエバンジェリスト
Security CoE センタ長

扇 健一

公益財団法人 大原記念倉敷中央医療機構
倉敷中央病院
情報システム部 部長

藤川 敏行

防御力重視からレジリエンスの向上へ

病院特有のネットワーク慣習に潜む脆弱性

扇:
近年、病院をターゲットにしたランサムウェアによる被害が特に目立ってきました。病院が情報を守る難しさはどこのあるのでしょうか。
藤川:
ランサムウェアの被害拡大は、感染経路を含めて予想していました。その原因に病院の特殊なネットワーク構造があります。一般的に病院のネットワークシステムは、インターネットから分離する慣習が長く続いています。それは医療情報の漏洩を防ぐ名目です。不正アクセスで患者情報が外部に流出するのを防ぐため、閉じたネットワークの中で電子カルテや治療費の計算システムなど数多くのシステムを運用しています。仕組みとしては理解できますが、実際は「分離」したネットワークも安全ではありません。むしろ、安全性が高いと誤解され、侵入されたときの対策が脆弱です。ずさんな管理が被害をさらに拡大させています。OSやウイルス対策ソフトウェアのアップデートがされず、USBメモリーのようなメディア対策も不十分なのが実状です。
扇:
医療業界では医療ネットワークとインターネットが分離されているのは有名な話ですね。それでもなぜ、一般的な病院はランサムウェアによる被害を防げないのでしょうか。
藤川:

電子カルテを中心とした「閉じたネットワーク」の安全神話が続いているからです。例えば2022年にランサムウェア攻撃を受け、復旧に2カ月以上がかかった徳島県のつるぎ町立半田病院。病院システムへの侵入経路は、保守のためにベンダー企業が設置したVPN経由でした。ただ、この保守のためのインターネットを介するアクセス自体は一般的に行われていることです。このように、保守まで踏まえると完全に閉じ続ける医療ネットワークはありえません。装置が責任者不在のまま適切に管理されていなかったこと、報告書によると、パスワードが外部に漏えいした状態で、変更しなかったことが原因と考えられています。

半田病院では、さらにシステムを利用するユーザーアカウントが管理者権限になっていたので、ほかの端末にも影響が拡大し、多くの端末が侵害されました。病院にありがちですが、大半の病院が管理者権限を保守のベンダー任せにしています。半田病院ではVPNのパスワード設定やシステムのアップデートを含め、たくさんの問題が検証委員会で報告されました。基本的にインターネットから分離しているシステムなら安全だと過信し、対策が不十分だったのが原因だと思います。

扇:
さらに情報システム担当者はたった1人。体制としても十分とは言えなかった。ただ、半田病院が特別かというと、そうではないですよね。大半の病院が同じような状況だと思います。

ランサムウェアの侵入を前提としたセキュリティ

藤川:

倉敷中央病院では、情報システム部がITシステムを統括しています。当院のシステムはインターネットとつながっていることが大きな特徴です。その中で約80のシステムが稼働しています。

現在、情報システム部には18人が在籍し、そのほとんどが経済産業省の情報処理技術者資格を所持しています。管理者権限も含めてベンダー任せにせず、すべての院内端末を我々が管理しています。その数は約3300台にも上ります。病院長のように職位が高いからといって、管理者権限が付与される仕組みにもなっていません。病院長であってもPCの壁紙ひとつ変えられない。攻撃があっても被害を最小限に抑えられるようにしています。

ランサムウェア対策としては、不正を検知して通信を遮断するIPS(Intrusion Prevention System)、パソコンやスマートフォンのような端末を監視するEDR(Endpoint Detection and Response)を利用しています。そして大量のログをリアルタイムで分析し、インシデントの兆候をつかむSIEM(Security Information and Event Management)の導入も開始しました。もちろん、感染の兆候があれば切り離して、バックアップが稼働する体制になっています。

ネットワークの安全性は、これらの細かい取り組みの積み重ねで維持できるものです。

扇:
SIEMまで活用されるほど先進的で驚きました。大手企業でもSIEMは導入していますがログの収集場所としての活用に留まり、インシデントの兆候をつかむ仕組みまで組み上げられているのはめずらしいんですよ。素晴らしい取り組みです。ランサムウェアの侵入を前提として、被害が発生しても抵抗力や回復力を高めることで事業継続を可能にする取り組みを我々は「サイバーレジリエンス」と呼んでいますが、倉敷中央病院ではその体制になっているようです。
藤川:
はい。それが医療の質にも直結するインターネットの利便性を生かし、かつ高いセキュリティを維持する方法だと考えています。
扇:

DX推進もあり、情報資産が社内のオンプレミス環境ではなくクラウドに保存されるようになり、サプライチェーンの連携も進みました。さらに、新型コロナウイルス感染拡大によるテレワークの普及で社外からのアクセスが増加するなど理由はさまざまですが、DX加速の流れは今後も継続するでしょう。特に、トップダウンによるDX推進が飛躍的に進んでいる製造業で顕著です。そのため、製造業でのセキュリティニーズが著しく高まっています。

このようなニーズに対するセキュリティとして、病院のようにネットワークを閉じて守る仕組みから、社内外からのアクセスに対して全方位で安全性を確保する「ゼロトラストセキュリティ」と呼ばれる方向にシフトしました。それでもランサムウェアはさまざまなところで猛威をふるっています。

藤川:
サイバーセキュリティ系のニュースを見ていると病院だけではなく、製造業もランサムウェアの攻撃を受けていますね。
扇:

そうですね。今までの対策では守れないほど、攻撃が巧妙にもなっています。そこで我々は、昨年からサイバーレジリエンスという考え方でソリューションの提供を開始しました。

サイバーレジリエンスの話は10年ほど前から紹介されてきましたが、ステージが変わってきました。米国商務省に属する国立標準技術研究所(NIST: National Institute of Standards and Technology)は、2021年に発行したガイドラインに、サイバーレジリエンスを強化するために「予測力」、「抵抗力」、「回復力」、「適応力」を備える必要があると明示しました。我々はこの4つの力を高めるソリューションを提供しています。

© Hitachi Solutions, Ltd. 2023. All rights reserved.サイバーレジリエンスの要素(日立ソリューションズ)

まさに、倉敷中央病院で実施されているPCにおけるマイクロセグメンテーションによる対策や権限の最小化、EDR、SIEMの導入は抵抗力に該当します。回復力のもととなるバックアップ体制も整えられている。本当に素晴らしい取り組みです。

藤川:
ありがとうございます。でも、視察に来る医療関係者からは、分離ネットワークではなくインターネットを活用している取り組みは非常識だと言われています(笑)。一方で、医療のDX化も叫ばれています。現状はこのようにちぐはぐです。
扇:

それは非常に残念ですね。セキュリティのトレンドは変わっているのに。

我々のサイバーレジリエンスソリューションの中で問い合わせが特に多いのは、予測力に該当するサイバー攻撃対応BCP策定コンサルティングや我々がホワイトハッカーとして攻撃者視点で実施する侵入テストです。取引先の評価も行いたいというニーズも高まっています。

最近ではサプライチェーンの脆弱なところを狙う攻撃もあり、2022年にランサムウェアの被害を受けた大阪急性期・総合医療センターは取引先を介して侵入を受けたケースでした。

藤川:
意味がないバックアップによる被害も多いですね。
扇:

おっしゃるとおりです。バックアップシステムを狙うランサムウェアもあるので、単純にデータを保存さえすればいいわけではありません。名古屋港はバックアップデータの感染により復旧が遅れました。我々は回復力強化として、バックアップデータ書き換え防止や迅速な回復を支援する「データ回復ソリューション」などを提供しています。

© Hitachi Solutions, Ltd. 2023. All rights reserved.データ回復ソリューション 提供イメージ(日立ソリューションズ)

地域の医療ネットワークの進化をめざす

藤川:

我々は、これからの地域医療のあり方として、地域にある医療機関がそれぞれ得意とする領域で技術・ノウハウ・知見を持ちよって、患者に切れ目のない医療を提供する仕組みの構築をめざしています。現在、地域の医療機関と提携して検査データや画像情報を共有できるネットワークシステムを構築し、共同利用を実現しています。今後、さらに地域の医療の質を高めるのに、医療情報へのアクセスやオンライン診療、遠隔手術を実現するネットワーク環境およびそれを実現するサイバーセキュリティは必須です。

倉敷中央病院がめざす「地域医療エコシステム」のイメージ(画像:倉敷中央病院)

いくつかの病院がランサムウェアで非常に大きな被害を受けて、病院のネットワークをインターネットと分離するだけでは守れないという認識が少しずつですが知られるようになりました。当院は、1972年に汎用機と言われていたコンピューターの利用を開始して以来、情報システムの取り組みを約50年続けてきたため18人のメンバーを抱えられています。ただ、同規模の病院であっても、ましてやもっと小規模の病院では、情報セキュリティ体制はまだまだ弱い。だからこそ日立ソリューションズのような専門的な知見を持った企業が多くの病院を支援して欲しいと思います。

扇:
我々も病院の安全性は何よりも重視されるべきものと考えています。それは情報セキュリティであっても同じです。地域の医療を担う中核病院がランサムウェアなどによってシステムストップを引き起こすと、地域住民の健康問題にも影響があることは医療関係者でなくとも容易に想像できます。過去の慣習にとらわれず、最適なソリューションを提供し、もっと貢献していきたいと考えています。
日立ソリューションズ