ニューノーマル処方箋(第44回) 医療機関を狙ったサイバー攻撃が増加中。どう防げば良いのか?

業務課題 ネットワーク機器脅威・サイバー攻撃

公開日:2024.06.28

<目次>

・医療機関を狙ったサイバー攻撃が増えている!

・医療機関は個人情報の宝庫。なのに対策が進んでいない

・厚労省がガイドライン更新。インシデントに対する事前対策が重要に

・対策が十分かどうか、チェックリストで確認

医療機関を狙ったサイバー攻撃が増えている!

 サイバー攻撃が増えています。総務省の「情報通信白書 令和5年版」によると、NICTER※が2022年に観測したサイバー攻撃関連の通信数は約5226億パケットで、2021年の約5180億パケットからは微増ですが、2015年の約632億パケットと比較すると、約8.3倍も増えています。

※NICTER・・・国立研究開発法人 情報通信研究機構(略称NICT)が運用する、大規模サイバー攻撃観測網のこと

 同白書では、近年のサイバー攻撃被害は企業だけではなく、医療機関でも増加しているといいます。実際に、警察庁に報告された医療・福祉分野におけるランサムウエアによる被害件数は、2021年上半期にはわずか2件でしたが、同年下半期には5件、2022年上半期は9件、同年下半期は11件と、徐々に増えています。

医療・福祉分野におけるランサムウェア被害件数
出典:警察庁サイバー警察局「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」

 例えば2022年10月に大阪のある医療機関で発生したサイバー攻撃では、院内のサーバーが身代金を要求するランサムウエアに感染し、院内システムのデータが勝手に暗号化されました。

 同センターではこのサイバー攻撃を受け、新規外来患者の受け入れを一時停止し、緊急性が高くない入院患者の一時的な退院や周辺病院への転院を余儀なくされました。幸い、患者の生命には影響はありませんでしたが、完全復旧は発覚の翌年である2023年1月まで時間を要したといいます。

 このほか、2021年10月には徳島県の病院で、2022年1月には東京の病院でも、サーバーがサイバー攻撃の被害に遭う事件が発生しています。

医療機関は個人情報の宝庫。なのに対策が進んでいない

 なぜ、医療機関はサイバー攻撃の標的となってしまうのでしょうか? 理由の1つに、医療機関はカルテなど個人情報を多く扱う機関であることが考えられます。

 先に挙げた大阪の病院の例でも、サイバー攻撃者は「暗号を復元したいなら、身代金を支払え」というメッセージをサーバーに残していました。サイバー攻撃者は、患者の医療情報が詳細に記載されたカルテを人質に取ることで、"病院側が人命を優先し、身代金を支払う可能性が高い"と考えているのかもしれません。

 このようにサイバー攻撃のターゲットとされつつある医療機関ですが、現場のサイバーセキュリティ対策は、あまり進んでいないようです。

 厚生労働省が2023年5月に発表した「『病院における医療情報システムのサイバーセキュリティ対策に係る調査』の結果について(病床別分析結果)」という資料によると、「サイバー攻撃などによるシステム障害発生に備えたBCP(事業継続計画)策定を講じている」と回答した医療機関は、全体の1/4以下のわずか23%でした。

 さらに、「電子カルテのオフラインバックアップを取っている」は49%、「関係事業者とのネットワーク接続点を全て管理下におき、脆弱性対策を実施した」は44%と、いずれも半分以下の割合という結果となりました。

厚労省がガイドライン更新。インシデントに対する事前対策が重要に

 このように医療機関のサイバー攻撃対策はいまひとつ進んでいない現状ではありますが、導入をサポートする動きもあります。

 例えば厚生労働省では「医療情報システムの安全管理に関するガイドライン」をアップデートし、最新バージョンとなる「第6.0版」を、2023年5月に発表しています。第6.0版では、サイバー攻撃やシステム障害といった非常時における対応や対策が追記されました。

 新しいガイドラインでは、医療機関が情報セキュリティインシデントの発生に対する備えとして、システム関連事業者や外部有識者などと非常時を想定した情報共有や支援に関する取り決め・体制の整備、通常時から医療情報システムに関係する脆弱性対策・EOS(※)に関する情報を収集し、速やかに対策を講じる体制作りが重要としています。

(※)EOS・・・製品やサービス、サポートの終了のこと。End of Sale(Support, Service)の略

対策が十分かどうか、チェックリストで確認

 厚生労働省は、ガイドラインに準拠したサイバー攻撃対策ができているかを確認できるチェックリスト「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」も公開しています。

 同リストでは、院内で使用するサーバーやPC、ネットワーク機器のセキュリティ対策や、サイバー攻撃を想定したBCPが策定されているかについてチェック項目を設けています。どう対策すればよいか分からない場合も、これらの項目をクリアすればよいでしょう。

 ガイドラインの「システム運用編」という資料では、ファイアウオールのような"境界防御"の思考によるセキュリティ対策では、高度化・多様化するサイバー攻撃によって侵入される恐れがあるとしています。対策として、外部・内部問わずすべてのトラフィックについての安全性を検証する「ゼロトラスト」を紹介しています。

従来のファイアウオールを用いたセキュリティモデル(左)と、すべてのトラフィックの安全性を検証する「ゼロトラスト」のセキュリティモデル(右)。
出典:BizClip

 先に挙げた警察庁のデータによれば、医療機関に対するサイバー攻撃の被害件数は多いわけではありません。しかし、攻撃が苛烈になり、多くの医療機関が被害を受けた場合、日本の医療業界に大きな悪影響を及ぼす恐れも十分に考えられます。

 現時点では、サイバー攻撃対策が進んでいない医療機関も多いかもしれませんが、対策を怠ると患者の生命を脅かすことにもつながりかねません。新しいガイドラインを参照し、信頼できる医療ベンダーのサポートを受けるなど、早めに対策を進めておくべきでしょう。

【TP】

あわせて読みたい記事

  • ニューノーマル処方箋(第58回)

    1本の電話が大きなリスクに!? 実は怖い迷惑電話とその対策

    業務課題 リスクマネジメント音声通話

    2025.02.07

  • 中堅・中小企業DX実装のヒント(第11回)

    DXで人材採用の効率と精度アップを実現

    業務課題

    2025.02.07

  • 知って得する!話題のトレンドワード(第22回)

    ポイント解説!スッキリわかる「イクボス」

    業務課題 経営全般

    2025.02.04

「業務課題」カテゴリーから探す

連載バックナンバー

ニューノーマル処方箋

もっと見る

カテゴリー 一覧