これからの病院経営を考える 第1回 医療機関を脅かすセキュリティの脅威と対策ポイント

2021-12-21

サイバー攻撃による地方病院の機能停止

2021年10月末、国内のある自治体病院がランサムウェアを用いたサイバー攻撃の被害に遭いました。電子カルテや会計など全てのシステムがダウンするとともに、過去のものも含めて計8万5千人分の患者データが利用不能となった結果、急患や新患の受け入れ停止や手術の延期などの対応を取らざるを得ず、地域医療の中核を担うべき病院が機能停止という事態に陥りました。この事案は発生から1カ月以上が経過しても診療内容の制限は続き、住民や患者に不安と混乱が広がるなど地域医療に支障が生じました。被害に遭った病院ではデータ復旧や電子カルテシステムの再構築にあたって数億円にのぼる費用が必要となり、経済的な損失も甚大となります。こうした実例を踏まえ、本稿では、サイバー攻撃のトレンド、医療機関のセキュリティを考えるうえで重要な視点、そして病院経営者の皆様にまず取り組んで頂きたい対策をご紹介します。

ランサムウェアの脅威

このような事態を引き起こしたのは、ランサムウェアと呼ばれる身代金要求型のコンピューターウイルスです。メールなどから気付かれない間にPCに侵入し、そこから組織内の他のシステムに拡散するのがこのウイルスの特徴ですが、このような事案は国内外、業界問わず急増しています。このウイルスの恐ろしいところは、感染すると従来のウイルスのように情報漏えいをもたらすだけではなく、システムの停止やデータの暗号化、ひいては業務の停止といった被害を引き起こす点にあります。特に最近は手法が巧妙化しており、感染した相手に「データを復号してほしければ身代金を払え」という恐喝行為と、「払わなければデータをインターネット上に公開する」という恐喝行為を同時に行う“二重恐喝型”*1と呼ばれる事例も多数報告されています。攻撃者からのこのような圧力は、被害を受けた組織の冷静な意思決定を阻む障壁となります。

サイバー攻撃の組織犯罪化、業界特化の攻撃キャンペーンの増加

サイバー攻撃が流行する背景には、サイバー攻撃のビジネス化の進展が挙げられます。過去のサイバー攻撃は、個人の攻撃者による犯行が多く、実行には高い技術力が求められるものでした。しかし近年はサイバー攻撃用のウイルスがダークウェブ*2上で売買されており、高い技術力を持たない攻撃者でもサイバー攻撃を遂行できる環境、また攻撃者が活動を継続するための資金を得る環境が整備されています。あわせて、特定の業界を執拗に狙う攻撃キャンペーンが発生している点も特徴的であり、医療業界を標的としたキャンペーンも実際に発生しています。サイバー攻撃の脅威は今後も深刻化することが予想されるため、医療業界にとっても対岸の火事ではないことを、医療に携わる方々は改めて認識する必要があるでしょう。

「診療系はインターネットに接続していないから大丈夫」という過信

ここからは、医療機関のセキュリティを考えるうえで重要な2つの視点をご紹介します。1つ目は、診療系ネットワークの安全神話と呼ばれるものです。「診療系ネットワークは他のネットワークから分離されているためセキュリティ上安全である」という考えを持つ方が依然として一定数存在しますが、診療系ネットワークにもセキュリティの脅威が侵入する可能性はあります。例えば、USBメモリを媒介としてシステムに感染するウイルスがその一例です。学会での発表のために医師がUSBメモリでデータを抜き出す際、USBメモリからウイルスが侵入し、ネットワーク内の他のシステムにウイルスが拡散するというケースが想定されます。また、情報系ネットワークとの分離は行われているとしても、診療系システムの保守作業用にリモートメンテナンス回線を利用している組織は多いと思います。攻撃者が当該回線へのアクセスを不正に得た場合、メンテナンス用の回線から診療系ネットワークに侵入し、ネットワーク内にウイルスをばらまくことも可能です。これらは一般的に想定されるシナリオの一部ですが、自組織のシステム環境を改めて見直し、発生し得るシナリオを検討することが推奨されます。

予防重視型のセキュリティ対策の危険性

2つ目の課題は、予防を目的としたセキュリティ対策に偏重する傾向がみられる点です。一般的に、サイバーセキュリティ対策は、予防、検知、対応、復旧のフェーズに合わせて検討することが重要とされています。これは、サイバー攻撃の完全な予防は不可能であり、異常の検知、事象への対応、通常業務への復旧をあらかじめ想定することの重要性を示す考え方です。特に中小規模の病院では、以前として予防策に比重が置かれている傾向があり、検知から復旧に至る対策の不足は、事態の長期化および深刻化を招き、医療の混乱に直結します。初動を早め、影響を最小化するためにも、院内システムの停止を想定した業務継続計画の整備または見直しを推進するとともに、万一の事態において経営陣が発揮すべきリーダーシップの重要性を改めて認識する必要があります。

図1 フェーズ別のセキュリティ対策

まず取り組むべき4つのポイント

最後に、ランサムウェアの被害に備え、まず取り組んで頂きたい4つのポイントを紹介します。重要なことは、被害が発生してしまった場合を想定した対策を講じ、有事に備えておくことです。

1.ウイルスの侵入経路の把握

メールやウェブサイト、USBなど、ウイルスは日常的に用いるさまざまなツール内に潜んでいます。攻撃者は1台のシステムにウイルスを感染させ、乗っ取ってしまえば、ネットワーク上の他のシステムに感染を横展開することもできます。ウイルスはどこから侵入し得るのか、そして侵入後にどこまで感染が拡大し得るのか、自組織のシステム環境とセキュリティ対策を改めて見直すことが重要です。

2.バックアップの取得状況の確認

身代金の要求に応じずに自らシステムの復旧を実施できるよう、バックアップを確実に取得しておくべきです。バックアップデータまで暗号化されてしまう事例も発生していることを踏まえ、バックアップのオフライン保存や、バックアップからの復旧テストを平時より行っておくことが重要です。

3.代替業務手段とシステム復旧方法の検討

院内システムの停止に備え、紙カルテの運用など各業務の代替手段を検討し、障害対応マニュアルを更新しておくことが重要です。あわせて、システムの調査やウイルス除去、システム復旧作業の実施手順と役割もあらかじめ定義し、可能な限り速やかにシステムを復旧させることも重要です。多くの組織は自然災害などを想定した業務継続計画を既に整備していると思いますが、サイバー攻撃にも耐えうる内容かどうか、改めて見直すことが推奨されます。

4.身代金要求への対応に関する院内関係者との合意形成

ランサムウェア攻撃の組織犯罪化を助長させないためにも、身代金の支払いは慎むべきです*3。そもそも、支払いに応じてもデータが復旧される保証もありません。一方、実際に被害に遭った組織のなかには、身代金を支払った事例も一定数存在します。身代金要求への対応方針について、あらかじめ院内関係者と合意形成を図る必要があります。

医療業界を取り巻くサイバー脅威は深刻化の一途を辿っている一方、その対策は十分であるとは言えず、リスクの高い状況が続いていることを改めて認識する必要があります。サイバー攻撃を想定した事業継続計画の重要性を改めて認識するとともに、現状のセキュリティ対策を見直すことが急務であると考えます。

*1:PwC「【サイバーインテリジェンス】リモートワーク導入により高まる二重恐喝型ランサムウェアの脅威」
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-intelligence06.html

*2:ダークウェブ:特殊な方法でのみアクセス可能なインターネット上のサイト。匿名性が高く、追跡が困難であることが特徴。サイバー攻撃で不正に入手した個人情報や攻撃ツールなどが売買されている。

*3:最近のサイバー攻撃の状況を踏まえた経営者への注意喚起
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf

執筆者

林 和洋

パートナー, PwCコンサルティング合同会社

Email

増井 郷介

ディレクター, PwCコンサルティング合同会社

Email

小濱 奈美

ディレクター, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}