リスク領域から探す

実践ソリューション

リスク情報

RM NAVIとは

コラム/トピックス

医療機関はサイバー攻撃にどう備えるべき?主な攻撃手法と具体的な対策とは

[この記事を書いたサイバーセキュリティの専門家]

遠藤 宣孝
会社名
MS&ADインターリスク総研株式会社
所属名
デジタルイノベーション本部スタッフ スペシャリスト
執筆者名
遠藤 宣孝 Noritaka Endo

2024.12.16

この記事の
流れ
  • 医療機関のサイバーセキュリティ対策の最新動向は?
  • なぜ医療機関が狙われる?
  • 「ランサムウェア」とは?
  • 身代金を要求されたら
  • サイバー攻撃に対する効果的な事前対策は?
  • サイバー攻撃を受けた場合の対応方法は?

医療機関を狙ったサイバー攻撃によってシステム障害が発生し、診療が停止に追い込まれるといった被害がしばしば報道されています。
医療機関はサイバー攻撃の標的になりやすいのでしょうか。サイバー攻撃を受けるとどのような被害が発生するのでしょうか。そして、事前にどのような対策を講じるべきなのでしょうか?
最新の動向も踏まえ、当社のサイバーセキュリティの専門家、遠藤宣孝に詳しく話を聞きました。

医療機関のサイバーセキュリティ対策の最新動向は?

ーー医療機関のサイバーセキュリティ対策をめぐっては、政府が医療情報の安全管理指針を改定するようですが、その概要と背景を教えてください。

遠藤)医療機関は、IT人材が組織内に少ないことが多く、サイバーセキュリティ対策は、システムの保守を委託しているITベンダーへの依存度が高いケースが多くみられます。この場合、医療機関が自らの情報セキュリティリスクを十分に把握しておらず、サイバー攻撃が起きた際に適切な行動を実施できなかったり、ITベンダーに緊急時対応を依頼したものの保守契約の対象外として断られたりといった問題が生じがちです。こうした課題を踏まえて、総務省と経済産業省は、医療情報の安全管理指針を今年度内に改定する予定にしています。新しい指針では、セキュリティ対策における医療機関とITベンダー間の責任分担を両者の業務委託契約書に明記することを求めており、医療機関側としては自身の責任範囲を把握して適切な対策を実施することが求められます。

なぜ医療機関が狙われる?

ーーそもそも、医療機関はサイバー攻撃の標的になりやすいのでしょうか?

遠藤)医療機関は特に狙われやすいと考えられます。なぜなら、医療機関は、患者の氏名、住所、生年月日などの個人情報に加え、病歴、治療内容、検査結果といった秘匿性の高い医療情報を大量に保有しています。

一方で、多くの医療機関、特に中小規模の病院やクリニックでは、セキュリティ対策に十分な予算や人員を割くことができていません。そのため、ランサムウェアのような脅威に適切に対応するためのシステム面の対策、セキュリティの専門人材の確保などが進まず、サイバー攻撃に対する脆弱性を抱えているケースが多いといえます。

攻撃者は、ランサムウェアというマルウェアを使って、これらの情報を暗号化したり、操作不能にして被害者を脅迫したりすることで、より高い確率で身代金を手に入れることができると考えているのです。

「ランサムウェア」とは?

ーーサイバー攻撃の手法の1つとして用いられるランサムウェアについてもう少し詳しく教えてください?

遠藤)ランサムウェアは「身代金要求型ウイルス」のことで、感染したコンピュータ内のファイルを暗号化し、操作不能にするマルウェア(不正プログラム)です。攻撃者はデータを暗号化し、さらには機密情報を窃取して、暗号化データの復旧や窃取した機密情報を公開しないことと引き換えに身代金を支払うことを要求します。ランサムウェアによる被害は大きく分けて2つあります。

1つ目は、データやシステムが利用できないことによる業務への影響です。電子カルテシステムや医療機器などがランサムウェアによって暗号化され、使用不能になることで、診察や手術ができなくなったり、業務全体が停止に追い込まれたりするなど、医療現場に深刻な混乱を招きます。また、診療報酬の請求業務などが滞り、病院経営に大きな支障をきたすこともあります。

2つ目は、情報漏えいです。ランサムウェアによる不正アクセスによって、患者のカルテ情報を含む個人情報が漏洩すると、漏洩の被害者に対する謝罪や説明に膨大な時間と労力を割くことになります。メディアに報道されると医療機関としてのレピュテーション(名声)が大きく低下することにもなりかねません。監督官庁からも再発防止に向けて指導や監督も実施されることでしょう。「身代金を支払わなければ窃取したデータを公開する」という二重脅迫型の手口もしばしば行われます。

過去には、サイバー攻撃によって数ヶ月にわたって診療業務を停止せざるを得なくなった病院も報じられています。

身代金を要求されたら

ーーランサムウェアは身代金要求型ウイルスとのことですが、万一、医療機関が身代金を要求された場合はどう対処すべきでしょうか?

遠藤)「身代金は支払うべきではない」というのが原則的な考え方です。さきほどお伝えしたように「ランサムウェア」は暗号化したデータの復旧などと引き換えに身代金を要求してくるのですが、たとえ身代金を支払ったとしても、データが元通りに復元される保証はありません。また、一度身代金を支払うと、その後も繰り返し要求されるケースもあるというのがその理由です。

個々の状況によっては、原則を逸脱した判断が求められることもあるかもしれませんが、その場合でもセキュリティの専門家や警察に相談して、慎重に判断することが重要です。

サイバー攻撃に対する効果的な事前対策は?

ーー 医療機関は、ランサムウェアのようなサイバー攻撃に対して具体的にどのような対策をすればよいのでしょうか?

遠藤)大きく2つの観点で対策を検討しておく必要があります。一つは、不正アクセスを未然に防ぐ対策、もう一つは万一不正アクセスされてしまった場合の緊急時の対応策です。

昨今のランサムウェアの感染事例では、VPN(仮想プライベートネットワーク)経由で侵入されているケースが多くあります。たとえばリモートワークでは、自宅のインターネット回線を使って社内のネットワークに接続しますが、それを実現している技術がVPNです。このため、VPNを経由して不正アクセスされると、社内ネットワーク内の情報にアクセスでき、権限によっては重要な情報を盗み取ることができます。多くの場合、最新のセキュリティパッチを適用してVPN機器を最新の状態に更新できていない、VPNの認証パスワードに単純なものや推測されやすいものを設定しているといった人為的な過失が、不正アクセスを許す原因となっています。

こうした事態を防ぐには、セキュリティパッチの更新やID・パスワードの管理を適切に行う以外にも「多要素認証」という複数の異なる認証要素を組み合わせて認証する方法があります。IDとパスワードを入力したら、メールやスマートフォンの認証アプリなどで別途認証が求められるようにすることで、セキュリティが大幅に強化されます。

ーー2つ目の、不正アクセスされてしまった場合に備えた体制整備についても教えてください。

遠藤)万一不正アクセスされてしまった際には、被害を最小限に食い止める必要があります。そのためには、初動対応が非常に重要です。ただ、事前に初動対応の方針やルールを定めていないと、迅速かつ適切に動くことができません。 例えば、初動対応の方針やルールの検討では、以下のようなことを行っておく必要があります。

例えば、初動対応の方針やルールの検討では、以下のようなことを行っておく必要があります。

  • サイバー攻撃を受けた場合の対応方針・手順をマニュアル化して、定期的な訓練を行う。
  • システムを運営するITベンダーとの役割分担や、連携方法を事前に明確化しておく。

<サイバーインシデント対応の基本ステップ>

出所:IPA 「中小企業のためのセキュリティインシデント対応の手引き」をもとに作成

注意していただきたいのは、ハード面の対応(サーバや通信のセキュリティ対策など)はITベンダー任せでもそれなりの効果が期待できる一方で、ITシステムの運用ルールの整備や運用の徹底、緊急時対応ルールの整備などは、医療機関が自身で検討・実施しなければならない点です。昨今のサイバー攻撃では、運用が適切にされていないことが原因によるサイバー攻撃の被害が多く目立ちます。もし、現時点で対策ができていないようであれば、組織内での検討に加えて、外部のセキュリティベンダーの支援を受けることも含めて検討を進める必要があるでしょう。

サイバー攻撃を受けた場合の対応方法は?

ーーサイバー攻撃を受けた場合は組織としてどのように対応すればよいのでしょうか?

遠藤)前述のように事前の体制整備が重要となります。そのうえで、自社内で初動対応から解決まで対応(インシデント対応)できることが理想となりますが、現在は専門性をもった人材を確保することは難しい状況です。特に中小規模の医療機関では初動対応の段階から何をすればわからないといった状態になる可能性が考えられます。 このように自社で対応が難しい場合は、平時から何かあった時のためにすぐに対応を依頼できるように外部のセキュリティ専門業者と調整しておくことも適切な体制整備の一つとなります。

このようなインシデント対応のサービスは、自動車事故のロードサービスをイメージしてもらうといいかもしれません。ロードサービスは、自動車を運転していて事故などにあってしまったオーナーに対して、自動車のレッカー搬送や代替移動手段の手配といった緊急時のサポートを提供します。

インシデント対応のサービスも同様に、サイバー攻撃を受けた(可能性のある)お客さまに、サイバーセキュリティの専門家が、被害の把握から事案の解決まで伴走してアドバイス行うなど様々あります。主なサービスとしては以下のようなものがあります。

  • サイバー攻撃が発生した際の緊急時対応、初動対応へのアドバイス
  • サイバー攻撃被害・影響範囲の特定支援
  • システムやデータの復旧方法等のアドバイス
  • 外部、内部向け報告内容の作成支援

当社では「MS&ADサイバーインシデントガード」というセキュリティ対策サービスで上記のようなサポートを提供していますが、このほかにも様々な会社からいろんなサービスが提供されています。 「当社や各社がどのようなサービスを提供していて、どこがどう違うのか知りたい」 「まずはどこから手を付けたらいいのか知りたい」 このようなことを知りたい医療機関のみなさんは、ぜひお気軽にご相談ください。

初動から解決まで。サイバー攻撃対策、徹底支援。「サイバーインシデントガード」

記事の中で触れた、インシデント対応のサービスを、インターリスク総研は提供しています。
サイバーインシデントガードは、当社のサイバー事故対応の専門家(コマンダー)がお客さまからのサイバー攻撃報告を受け付け、初動から解決に至るまでの一連の流れの中で司令塔としての役割を担い、サイバー攻撃に対しお客さまが的確なアクションができるようサポートします。
また、必要に応じてサイバー攻撃の原因などを調査できる専門事業者や、事業危機管理の専門事業者等を紹介することで、お客さまのサイバーセキュリティ窓口として機能します。

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。