社会のデジタル化が急速に進む一方で、「サイバー攻撃」のリスクも高まっている。昨年10月には徳島県のつるぎ町立半田病院が「身代金ウイルス」の被害に遭い、診療機能が2カ月にわたって麻痺する事態も起きた。「出入口対策」やデータバックアップの「321ルール」など、具体的な様々な備え、対策を打つことは重要。そして病棟看護業務のIT化を進めているサスフォーユー代表取締役の川添大悟氏は「最も大事なのは病院経営者の危機意識」と訴える。
川添大悟・サスフォーユー代表取締役
「ランサムウェア」で病院が機能不全に
─ 近年、様々な企業が「サイバー攻撃」の脅威にさらされていますが、病院も例外ではありません。2021年10月には半田病院(徳島県)がデータの復元と引き換えに金銭を要求する「ランサムウェア」(身代金ウイルス)に感染、病院の電子カルテシステムが使用できなくなり、2カ月にわたって機能不全に陥るという事態も起きました。病院はサイバー攻撃に対して、どの点に気をつければいいのか、聞かせて下さい。
【あわせて読みたい】【見直し迫られる部品会社との関係】トヨタの部品会社にサイバー攻撃
川添 サイバー攻撃への備えという意味では、まず重要なのが「出入口対策」です。その中でも最重要なのが「VPN機器」です。
VPNとは「Virtual Private Network」の略で、インターネット上に仮想的な専用網を設置し、データをやり取りする通信方式を言います。距離が離れた拠点でも、専用線を用意せずに、同じような通信品質を実現できるとして、多くの企業が導入しています。
この出入口となるのがVPN機器ですが、この機器を動作させるためのプログラム(ファームウェア)をアップデートせずに古いまま放置していると、それがセキュリティホール(脆弱性)になってしまう恐れがあります。その〝隙〟をハッカー集団が突いてくるわけです。
─ 機器のアップデートを怠るとハッカーに狙われやすくなると。このことは技術者はわかっているわけですか。
川添 技術者(病院のシステム管理者)はわかっているのですが、病院の経営層となると、どうしても疎くなってしまっているという現状があります。
ここではっきりさせておいていただきたいのが、この機器のファームアップの作業を誰が担っているのかです。例えば外部のベンダーに依頼をしているのであれば、通常の保守契約の範囲内で対応をしてくれるのかどうか。これはすぐにでもご確認いただきたい点です。
もう1つ、出入口対策として気を付けるべき点は「UTM」(Unified Threat Management=統合脅威管理。複数のセキュリティ機能を1つに集約して運用するネットワークセキュリティ対策のこと)を導入していただきたいということです。
従来は「ファイアウォール」が不正アクセスを防御する役割を担っていましたが、最近ではファイアウォールだけでは防ぎきれない状況になっています。そこにUTMを使えば、ファイアウォールの防御機能はもちろんのこと、不審なメール、不正アクセス、その他諸々のウイルスなどを総合的に検知・ブロックできるのです。
─ そもそもハッカーはどのような手段で侵入して来るんですか。
川添 初期段階ではまず、「闇サイト」、「ダークウェブ」と呼ばれるサイトでターゲットを事前調査します。そこには、例えばターゲットとなる病院から抜かれている情報を確認することができるわけです。
ターゲットの情報を調べたら、次に内部活動に入ります。実際にターゲットとなる病院のネットワーク内に侵入して、内部のサーバーなどを調べます。その次にはデータを暗号化し、身代金要求の情報を送りつけていくわけです。
その際に、先ほどお話したような脆弱性があると一気に侵入されてしまいますから、先ほどの2つの出入口対策が重要です。
その次に内部対策として、こちらも機器が重要になります。1つはトレンドマイクロの製品ですが、「DDI」(Deep Discovery Inspector=広範囲にわたる検出)というネットワーク監視装置があります。これを院内のネットワークに設置することで万が一侵入された場合でも、不審な通信が社内で発信されていないかを可視化することができます。
もう1つが「RADIUSサーバー」を院内のネットワークに導入することです。これは、一言でいえば「認証サーバー」です。ネットワークに入る際に認証をかける「関所」のようなイメージになります。
その次の対策が「エンドポイント対策」です。これは末端対策、つまり機器面での最後の対策ということになります。
まず重要なのが、病院内に設置されているサーバーやパソコンのOSを常に最新化しておくことです。例えば電子カルテシステムを導入していると、その電子カルテベンダーとしては、電子カルテサーバーや電子カルテ端末の安定稼働の観点から、OSをアップデートして欲しくないという考えを持っています。ですから、アップデートに二の足を踏んでいる間にハッカー集団に侵入されてしまうケースもあります。
末端対策の2つ目です。パソコンにウイルス対策ソフトをインストールしている方は多いと思いますが、そうだったとしても「パターンファイル」(定義ファイル)と呼ばれる物を常に最新化しておかないと、ウイルスに感染するリスクが高まります。これは基本中の基本ですから、漏れなくやっていただきたい対策です。
─ これらの対策には、やはり経営者レベルでの問題意識の設定が非常に重要ですね。
川添 そうです。さらに次の対策は「備え」です。厚生労働省は医療機関に対して「医療情報システムの安全管理に関するガイドライン」を出していますが、改めて各病院には、このガイドラインを遵守して欲しいと思います。
このガイドラインの第6章に、サイバー攻撃に関することが書かれていますので、これを遵守するとともに、是正の対策を打っていただきたいと思います。
病院としては、このガイドラインに基づいて、病院内独自の「情報セキュリティポリシー」を策定していただきたいですね。これを策定した上で、院内や関係業者含めて守っていくことを徹底する必要があります。
サイバーセキュリティを病院の「経営戦略課題」に
─ 医療機関のサイバー攻撃への備えは十分とは言えない状況だと思いますが、「いつでも攻撃を受ける可能性がある」という意識が大事ですね。
川添 ええ。全医療機関にぜひ実行していただきたいのが、先ほどお話したサイバーセキュリティを、病院の「経営戦略課題」として盛り込むことです。
正直に申し上げて、病院は一般企業と比較して、ITリテラシーや院内ガバナンスが少し遅れている面があります。ですから、ここでサイバーセキュリティを病院の経営戦略上の課題と位置付けて手を打っていかないと、今後も被害病院が後を絶たないことになります。
─ 半田病院の教訓の一つだと思いますが、サイバー攻撃に備える上で、病院のデータのバックアップ体制はどのように構築すべきだと考えていますか。
川添 データのバックアップ運用には「321ルール」というものがあります。第1に「データはコピーして3つ持つ」(二重にバックアップを取る)、第2に「2種類のメディアでバックアップを保存する」、第3に「バックアップのうち1つは違う場所で保管する」というものになります。
これは状況から見た推測ですが、半田病院さんではバックアップサーバーにオンライン上でバックアップを取っておられたと思いますが、オフラインでのバックアップを取っていなかった可能性が考えられます。
オフラインでバックアップする場合、「LTO」(Linear Tape-Open)というコンピューター用のデータ保存磁気テープ媒体があります。50年以上、性能が劣化しないとされ、長期保管が可能ですが、半田病院さんはデータ復旧に2カ月強かかっていますから、LTOでの世代管理を含めたバックアップをしていなかった可能性が高い。
─ ハッカー集団側から見ると、対象がオフラインでバックアップを取っていないといったことはわかるわけですか。
川添 わかります。先ほど申し上げたように、一度侵入して内部を調査した上で攻撃を仕掛けてきますから、対象の準備状況がわかっているわけです。
さらなる備えとしては「補償」、つまり「サイバーリスク保険」です。東京海上日動火災など、大手損害保険会社で取り扱いがあり、大企業を中心に加入が進んでいますが、今後病院としても加入を検討していく必要があると思います。
補償の内容としては、実際にサイバー攻撃などで事故となった時の賠償責任保険、事故が発生した際の対応費用、攻撃によって診療が停止してしまった場合の利益や営業をするための費用など、包括してカバーしてくれる保険となっています。
大事なのは、対策を業者任せ、ベンダー任せにしないことです。業者任せにしたままサイバー攻撃の被害に遭うと、まず病院の医療サービスが低下し、医業収益の被害を受け、その結果地域医療が混乱してしまいます。
病院経営のあり方を見直すきっかけに
─ 管理責任は病院にありますから、経営課題として捉えて取り組む必要がありますね。
川添 さらに、先ほどのガイドラインの第6章にも書いてありますが、何かがあった時の連絡先、相談先を明確に把握しておくことも大事です。
また、電子カルテシステムを復旧させる際には電子カルテベンダー、被害調査の相談はセキュリティベンダーに相談するといった形で、平時からこれらの連絡先を常に把握して関係を構築していくことが大事です。誰が、どのタイミングで監督官庁や専門会社に相談したらいいのかということも、先程のセキュリティポリシーの策定の中に盛り込んでいた方がいいと思います。
そして対外発表です。どのようなタイミング、形式で対外発表をするかは非常に重要です。サイバー攻撃の被害を受けた時には警察署への連絡も必要になり、サイバー犯罪調査が入ります。ですから、下手に発表をしてしまうと捜査に支障をきたす場合があり、発表を控えなければいけないケースもあるんです。
拙速に対外発表をしてしまったことによって、ハッカー集団に知れ渡ってしまうと、サイバー攻撃が成功したと受け取られてしまうこともあり得ます。ですから、対外発表については慎重に考えた方がいいでしょう。
そして最後の備えです。病院経営トップが職員に対して注意喚起とセキュリティ教育を継続的に行うことですが、これが多くの場合できていないのが実情です。
─ やはりトップの意識が重要だということですね。ただ、病院、医療法人の場合には、医師が理事長であることが多いわけですが、経営上の観点でサイバー攻撃やITの問題を考えると、医療のトップと経営のトップとはある程度分けて、病院経営全体を見る立場の人が必要ではないかと思いますが、この点はいかがでしょうか。
川添 おっしゃる通りですね。病院では日々、医療アクシデントはそこまで多くありませんが、医療インシデント(重大な事件・事故に発展する可能性を持つ出来事)は起きているはずです。例えば、注射の打ち間違い、患者さんの取り違え、誤投薬、患者さんの転倒・転落などは日常茶飯事ではないかと思います。
病院経営者としては今後、情報セキュリティインシデントも、きちんと重大インシデントとして捉えていく必要があります。その意味で、今のサイバー攻撃の頻発は病院経営のあり方、考え方を根本的に見直す1つのきっかけと言えます。
都市部の先進的取り組みが地方に波及する
─ ところで、川添さんが医療向けのセキュリティ関連事業で起業しようと考えたきっかけは何ですか。
川添 私はこれまで、病院でのシステム管理や経営企画の担当として勤務してきた経験がありますが、その中で感じたのは、院内の業務にはどうしてもアナログな部分が多いということです。それをデジタルの力で変えていきたいという思いを抱き、起業したという経緯です。
実は、半田病院さんのケースに関しては、今回お話したサイバー攻撃への備えについて、昨年10月にフェイスブックを通して啓発をしていたんです。その数日後に、半田病院さんが被害に遭われたというニュースが出てきたので、非常に残念に思っていたんです。
事件以降、お問い合わせをいただくことも増えましたが、微力ながら、サイバー攻撃の被害を減らすためのお手伝いをしていきたいと思っています。「備えあれば患いなし」ですね。
川添大悟・サスフォーユー代表取締役
「ランサムウェア」で病院が機能不全に
─ 近年、様々な企業が「サイバー攻撃」の脅威にさらされていますが、病院も例外ではありません。2021年10月には半田病院(徳島県)がデータの復元と引き換えに金銭を要求する「ランサムウェア」(身代金ウイルス)に感染、病院の電子カルテシステムが使用できなくなり、2カ月にわたって機能不全に陥るという事態も起きました。病院はサイバー攻撃に対して、どの点に気をつければいいのか、聞かせて下さい。
【あわせて読みたい】【見直し迫られる部品会社との関係】トヨタの部品会社にサイバー攻撃
川添 サイバー攻撃への備えという意味では、まず重要なのが「出入口対策」です。その中でも最重要なのが「VPN機器」です。
VPNとは「Virtual Private Network」の略で、インターネット上に仮想的な専用網を設置し、データをやり取りする通信方式を言います。距離が離れた拠点でも、専用線を用意せずに、同じような通信品質を実現できるとして、多くの企業が導入しています。
この出入口となるのがVPN機器ですが、この機器を動作させるためのプログラム(ファームウェア)をアップデートせずに古いまま放置していると、それがセキュリティホール(脆弱性)になってしまう恐れがあります。その〝隙〟をハッカー集団が突いてくるわけです。
─ 機器のアップデートを怠るとハッカーに狙われやすくなると。このことは技術者はわかっているわけですか。
川添 技術者(病院のシステム管理者)はわかっているのですが、病院の経営層となると、どうしても疎くなってしまっているという現状があります。
ここではっきりさせておいていただきたいのが、この機器のファームアップの作業を誰が担っているのかです。例えば外部のベンダーに依頼をしているのであれば、通常の保守契約の範囲内で対応をしてくれるのかどうか。これはすぐにでもご確認いただきたい点です。
もう1つ、出入口対策として気を付けるべき点は「UTM」(Unified Threat Management=統合脅威管理。複数のセキュリティ機能を1つに集約して運用するネットワークセキュリティ対策のこと)を導入していただきたいということです。
従来は「ファイアウォール」が不正アクセスを防御する役割を担っていましたが、最近ではファイアウォールだけでは防ぎきれない状況になっています。そこにUTMを使えば、ファイアウォールの防御機能はもちろんのこと、不審なメール、不正アクセス、その他諸々のウイルスなどを総合的に検知・ブロックできるのです。
─ そもそもハッカーはどのような手段で侵入して来るんですか。
川添 初期段階ではまず、「闇サイト」、「ダークウェブ」と呼ばれるサイトでターゲットを事前調査します。そこには、例えばターゲットとなる病院から抜かれている情報を確認することができるわけです。
ターゲットの情報を調べたら、次に内部活動に入ります。実際にターゲットとなる病院のネットワーク内に侵入して、内部のサーバーなどを調べます。その次にはデータを暗号化し、身代金要求の情報を送りつけていくわけです。
その際に、先ほどお話したような脆弱性があると一気に侵入されてしまいますから、先ほどの2つの出入口対策が重要です。
その次に内部対策として、こちらも機器が重要になります。1つはトレンドマイクロの製品ですが、「DDI」(Deep Discovery Inspector=広範囲にわたる検出)というネットワーク監視装置があります。これを院内のネットワークに設置することで万が一侵入された場合でも、不審な通信が社内で発信されていないかを可視化することができます。
もう1つが「RADIUSサーバー」を院内のネットワークに導入することです。これは、一言でいえば「認証サーバー」です。ネットワークに入る際に認証をかける「関所」のようなイメージになります。
その次の対策が「エンドポイント対策」です。これは末端対策、つまり機器面での最後の対策ということになります。
まず重要なのが、病院内に設置されているサーバーやパソコンのOSを常に最新化しておくことです。例えば電子カルテシステムを導入していると、その電子カルテベンダーとしては、電子カルテサーバーや電子カルテ端末の安定稼働の観点から、OSをアップデートして欲しくないという考えを持っています。ですから、アップデートに二の足を踏んでいる間にハッカー集団に侵入されてしまうケースもあります。
末端対策の2つ目です。パソコンにウイルス対策ソフトをインストールしている方は多いと思いますが、そうだったとしても「パターンファイル」(定義ファイル)と呼ばれる物を常に最新化しておかないと、ウイルスに感染するリスクが高まります。これは基本中の基本ですから、漏れなくやっていただきたい対策です。
─ これらの対策には、やはり経営者レベルでの問題意識の設定が非常に重要ですね。
川添 そうです。さらに次の対策は「備え」です。厚生労働省は医療機関に対して「医療情報システムの安全管理に関するガイドライン」を出していますが、改めて各病院には、このガイドラインを遵守して欲しいと思います。
このガイドラインの第6章に、サイバー攻撃に関することが書かれていますので、これを遵守するとともに、是正の対策を打っていただきたいと思います。
病院としては、このガイドラインに基づいて、病院内独自の「情報セキュリティポリシー」を策定していただきたいですね。これを策定した上で、院内や関係業者含めて守っていくことを徹底する必要があります。
サイバーセキュリティを病院の「経営戦略課題」に
─ 医療機関のサイバー攻撃への備えは十分とは言えない状況だと思いますが、「いつでも攻撃を受ける可能性がある」という意識が大事ですね。
川添 ええ。全医療機関にぜひ実行していただきたいのが、先ほどお話したサイバーセキュリティを、病院の「経営戦略課題」として盛り込むことです。
正直に申し上げて、病院は一般企業と比較して、ITリテラシーや院内ガバナンスが少し遅れている面があります。ですから、ここでサイバーセキュリティを病院の経営戦略上の課題と位置付けて手を打っていかないと、今後も被害病院が後を絶たないことになります。
─ 半田病院の教訓の一つだと思いますが、サイバー攻撃に備える上で、病院のデータのバックアップ体制はどのように構築すべきだと考えていますか。
川添 データのバックアップ運用には「321ルール」というものがあります。第1に「データはコピーして3つ持つ」(二重にバックアップを取る)、第2に「2種類のメディアでバックアップを保存する」、第3に「バックアップのうち1つは違う場所で保管する」というものになります。
これは状況から見た推測ですが、半田病院さんではバックアップサーバーにオンライン上でバックアップを取っておられたと思いますが、オフラインでのバックアップを取っていなかった可能性が考えられます。
オフラインでバックアップする場合、「LTO」(Linear Tape-Open)というコンピューター用のデータ保存磁気テープ媒体があります。50年以上、性能が劣化しないとされ、長期保管が可能ですが、半田病院さんはデータ復旧に2カ月強かかっていますから、LTOでの世代管理を含めたバックアップをしていなかった可能性が高い。
─ ハッカー集団側から見ると、対象がオフラインでバックアップを取っていないといったことはわかるわけですか。
川添 わかります。先ほど申し上げたように、一度侵入して内部を調査した上で攻撃を仕掛けてきますから、対象の準備状況がわかっているわけです。
さらなる備えとしては「補償」、つまり「サイバーリスク保険」です。東京海上日動火災など、大手損害保険会社で取り扱いがあり、大企業を中心に加入が進んでいますが、今後病院としても加入を検討していく必要があると思います。
補償の内容としては、実際にサイバー攻撃などで事故となった時の賠償責任保険、事故が発生した際の対応費用、攻撃によって診療が停止してしまった場合の利益や営業をするための費用など、包括してカバーしてくれる保険となっています。
大事なのは、対策を業者任せ、ベンダー任せにしないことです。業者任せにしたままサイバー攻撃の被害に遭うと、まず病院の医療サービスが低下し、医業収益の被害を受け、その結果地域医療が混乱してしまいます。
病院経営のあり方を見直すきっかけに
─ 管理責任は病院にありますから、経営課題として捉えて取り組む必要がありますね。
川添 さらに、先ほどのガイドラインの第6章にも書いてありますが、何かがあった時の連絡先、相談先を明確に把握しておくことも大事です。
また、電子カルテシステムを復旧させる際には電子カルテベンダー、被害調査の相談はセキュリティベンダーに相談するといった形で、平時からこれらの連絡先を常に把握して関係を構築していくことが大事です。誰が、どのタイミングで監督官庁や専門会社に相談したらいいのかということも、先程のセキュリティポリシーの策定の中に盛り込んでいた方がいいと思います。
そして対外発表です。どのようなタイミング、形式で対外発表をするかは非常に重要です。サイバー攻撃の被害を受けた時には警察署への連絡も必要になり、サイバー犯罪調査が入ります。ですから、下手に発表をしてしまうと捜査に支障をきたす場合があり、発表を控えなければいけないケースもあるんです。
拙速に対外発表をしてしまったことによって、ハッカー集団に知れ渡ってしまうと、サイバー攻撃が成功したと受け取られてしまうこともあり得ます。ですから、対外発表については慎重に考えた方がいいでしょう。
そして最後の備えです。病院経営トップが職員に対して注意喚起とセキュリティ教育を継続的に行うことですが、これが多くの場合できていないのが実情です。
─ やはりトップの意識が重要だということですね。ただ、病院、医療法人の場合には、医師が理事長であることが多いわけですが、経営上の観点でサイバー攻撃やITの問題を考えると、医療のトップと経営のトップとはある程度分けて、病院経営全体を見る立場の人が必要ではないかと思いますが、この点はいかがでしょうか。
川添 おっしゃる通りですね。病院では日々、医療アクシデントはそこまで多くありませんが、医療インシデント(重大な事件・事故に発展する可能性を持つ出来事)は起きているはずです。例えば、注射の打ち間違い、患者さんの取り違え、誤投薬、患者さんの転倒・転落などは日常茶飯事ではないかと思います。
病院経営者としては今後、情報セキュリティインシデントも、きちんと重大インシデントとして捉えていく必要があります。その意味で、今のサイバー攻撃の頻発は病院経営のあり方、考え方を根本的に見直す1つのきっかけと言えます。
都市部の先進的取り組みが地方に波及する
─ ところで、川添さんが医療向けのセキュリティ関連事業で起業しようと考えたきっかけは何ですか。
川添 私はこれまで、病院でのシステム管理や経営企画の担当として勤務してきた経験がありますが、その中で感じたのは、院内の業務にはどうしてもアナログな部分が多いということです。それをデジタルの力で変えていきたいという思いを抱き、起業したという経緯です。
実は、半田病院さんのケースに関しては、今回お話したサイバー攻撃への備えについて、昨年10月にフェイスブックを通して啓発をしていたんです。その数日後に、半田病院さんが被害に遭われたというニュースが出てきたので、非常に残念に思っていたんです。
事件以降、お問い合わせをいただくことも増えましたが、微力ながら、サイバー攻撃の被害を減らすためのお手伝いをしていきたいと思っています。「備えあれば患いなし」ですね。