ヘルスケア業界・医療機関向け
サイバーセキュリティ

閉域網神話の終わり～医療DXの始まり

The Threat Landscape

ICT化が急速に進むヘルスケア領域。電子カルテの普及が進むことで、病院、患者、薬局、支払基金／国保中央会、保険者、行政間の従来の閉ざされたネットワークだけでなく、外部ネットワークとの接続が必要となる場面が増加しています。

厚生労働省からは、医療情報システムの安全管理に関するガイドラインが発出されていますが、有効に作用しているとは言えません。実際に2018年以降、病院のシステムでのランサムウェア感染をきっかけとし、業務停止に至る事故が相次いで報告されています。

医療機関やシステムのサプライヤーは「閉域網神話」と例えられることがありますが、「クローズドな環境は安全である」という考えは改められるべきです。複雑化する医療システムにおいて、内部に脅威が侵入することを想定したリスクマネジメントの実践と、可用性も十分考慮したセキュリティを設計していく必要があります。

トピックス

2021年に徳島県の災害拠点病院、2022年に大阪府の災害拠点病院において相次いで発覚した病院システムへのランサムウェア感染被害は長期間のシステム停止を余儀なくされ、その間の診療が大きく制限されることとなり社会問題としても大きな反響を呼びました。業界内部の関係者であってもインターネット接続していない「閉域網」のはずなのになぜ？という認識も多く、こうした誤解によって対策が疎かにされてきた現実が露になりました。

昨今のランサムウェアを用いた標的型サイバー攻撃は単なるマルウェアによる攻撃ではなく、サイバー攻撃者によるHuman Operatedな攻撃によってOSや機器などあらゆる脆弱性が攻撃対象となっています。
関係者のみにしか共有されていないようなVPNアクセスポイントであっても攻撃者からはインターネットに接続されたネットワーク機器として認識され初期侵入経路として注目されています。また、内部の医療情報システムや医療機器など、管理ID/パスワードが共通化されていたり、セキュリティ修正プログラム（パッチ）が適用されていないシステムはシステム管理者権限を奪われる可能性が高くなります。セキュリティ対策ソフトが稼働していたとしてもシステム管理者権限を奪取した攻撃者によって強制停止される事態を招く、非常に深刻な問題でありアクセスコントロールや脆弱性対策は早期の見直し、対応が必要です。

医療機関における対策のポイント

■免疫強化→機器自体の対策

・セキュリティパッチの適用（外接点のNW機器は大至急ファームウェアバージョンの更新を）
・機器自体の設定運用見直し（不要サービス停止・多要素認証・使い回しパスワード回避など）
・セキュリティ対策ソフトの毎日のアップデートと、最新の検索方式の活用

■衛生管理→環境面での対策

・外接点は部門の隔てなく全て一元にリスト化。機器モデル、ファームウェアバージョンを可視化
・ウイルス対策が常駐していない機器に対してウイルス検索ツールによるチェック、駆除
・パッチインストールが困難な機器（業務影響の大きい重要サーバや、重要な医療機器）、サポート切れOS（レガシーOS）の脆弱性を
　内部ネットワーク用IPSで保護
・ネットワーク内における攻撃兆候、不審挙動を監視

医療機関向けセキュリティ対策ソリューション

EdgeIPS, EdgeIPSPro	・リモートAP内側に配置、LAN側通信内の攻撃検知、防御。・医療機器の前に配置、OS脆弱性へのネットワーク攻撃を検知、防御。
Deep Discovery Inspector	・ミラーポート接続で要注意箇所のトラフィックを監視し、不審なアクセスを検知。・脆弱な閉域網内だからこそネットワークセキュリティ監視による早期発見が重要。
Trend Micro Portable Security	・USBメモリ型非常駐マルウェア検索ツール。医療機器への対策として必須アイテム。・セキュリティ対策が導入されていない機器においてもマルウェア検索、駆除が可能。
Deep Security	・サーバ向けセキュリティ対策のスタンダード。重要サーバの脆弱性対策に有効。・セキュリティパッチ適用が容易ではないサーバOSを仮想パッチにより保護。
Apex One	・クライアント向けセキュリティ対策のスタンダード。AI/機械学習検索により未知マルウェア検知を強化。　さらに仮想パッチによる脆弱性検知、保護で横感染を抑止。

関連情報

■Security Go解説記事

データで紐解く、病院へのランサムウェア攻撃

日本国内で病院へのランサムウェア攻撃による診療停止が注目されています。医療業界に対するランサムウェア攻撃の傾向を、当社独自のデータに基づき紐解きます。

記事を読む

■オンデマンドウェビナー

診療継続が脅かされる標的型ランサムウェアの脅威

インターネットに接続していないと考えていた病院情報システムがランサムウェアに感染し診療情報にアクセスできなくなる、病院の事業継続を困難にする最悪のシナリオが現実になっています。身代金を要求するウイルスが地域の医療を襲う事態が発生し、実際に電子カルテデータの消失や会計システムが停止し診察費用が請求できなくなるなどの被害が出てしまいました。何故このような被害を受けてしまったのか。安全を重視する医療システムが抱える課題、見直すべきポイントについて解説します。

ウェビナーを見る

ある日・・・
「電子カルテの端末に変な画面が出てきたんですが・・・」「電子カルテのアクセスができません！！」
医療の現場で端末を操作しているスタッフからヘルプデスクへ連絡が来た。
続々とヘルプデスクの電話が鳴り、見る見るうちに動かない端末が続出する。
情報システム担当者は何が起こっているのか全く理解できない。「いったい何が起こっているんだ・・・」
表示された画面を見て気づいたスタッフ。「どうやらランサムウェアに感染しているようだ。まずいぞ・・・」「HISはインターネットから切り離しているのになぜだ？！」
対応方法が分からず右往左往するうちに、院長からは猛烈な指示が飛ぶ。「一刻も早くシステムを復旧しろ！」「明日の外来開始までに何とかしろ！」
病院全体を巻き込んだ先行きの見通せない混乱は昼夜を徹して続いていく・・・

昨今、病院情報システム内でのマルウェア感染により診療業務が停止または縮小に至る事案が相次いで報告されています。
経営層や外来、病棟のスタッフなど、あらゆるところから病院情報システムの担当部門に対して、一刻も早い復旧を求められる状況は当然のことながら
システム障害が起こっている状況で待たされている患者からはSNSで呟かれ、マスコミによる報道まで動き始めるといったことも・・・
そんな状況に追い込まれ復旧を急ぐあまりログの取得も行われず、とりあえず目に見えて動作不良が出ているPCやサーバをリストアするだけといったケースも少なくありません。
原因究明が行われていなければ根絶の確認も困難で、再発防止策も考えられないとなると、同様のインシデント発生リスクを抱えながら
患者の健康を預かる重要システムの運用を継続していかなければなりません。

このようなサイバーセキュリティにおけるインシデントは災害と同様で、経験したことが無いことには適切な対応が取れなかったり反応が遅れることがあります。
「対応手順は準備されているのか。」「対応手順通りに事を運べるのか。」
サイバーセキュリティにおけるインシデント対応訓練を本格的に行うことは技術的にもコスト的にもかなり難易度が高くなりますが
トレンドマイクロでは、インシデント対応ボードゲームという取り組みやすいゲーム形式の演習コンテンツをかねてより公開しております。
そしてこの度、医療分野向けのアレンジを行ったバージョンを公開いたしました。

厚生労働省の「医療情報システムの安全管理に関するガイドライン第5版」では「6.10 災害、サイバー攻撃等の非常時の対応」にて災害やサイバー攻撃を想定したBCPの準備や非常時における連絡対応を求めています。
不意に発生するセキュリティインシデントに対し、最短で収束させるために組織全体として取り組み、対応にかかる優先順位の判断（トリアージ）、役割に応じた行動を机上で体験することで、
サイバーセキュリティに関する個々の理解度の向上、対応力の強化や、組織の対応手順の見直しなど様々な効果が期待されます。

何もインシデントが起こらないことが一番であることは言うまでもありません。
しかしながら、安全を担うものの使命として、どのような行動をとればいいのか事前に把握し、備えておくことが必要です。
トレンドマイクロでは、ボードゲームという取り組みやすいゲーム形式で、セキュリティ事故発生後にどうすればいいのか分かる、演習コンテンツをご用意しています。

インシデント対応ボードゲーム医療版

2023年3月、厚生労働省は昨今の医療機関に対するサイバー攻撃への対応を促進するため医療法の施行規則を改正しました。

医療法施行規則(昭和二十三年厚生省令第五十号)
第十四条 2項を新設
病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない。

＜概要＞

医療法施行規則第14条第2項を新設し、病院、診療所又は助産所の管理者が遵守すべき事項として、サイバーセキュリティの確保について必要な措置を講じることを追加
令和5年3月10日公布、4月1日施行

「必要な措置」としては、最新の「医療情報システムの安全管理に関するガイドライン」を参照の上、サイバー攻撃に対する対策を含めセキュリティ対策全般について適切な対応を行うこととしています。

重要な点は、医療機関にとってはサイバーセキュリティ対応は病院経営者にとって義務として取り組むべきものと改めて定義された形となったことと、医療法第25条第1項に規定に基づく立入検査要綱の項目にサイバーセキュリティ確保のための取組状況を位置づけられたことです。
これによって行政による指導対象にもなり得るコンプライアンスリスクとしても認識を改めて考えていく必要があります。

2023(令和5)年3月23日の第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループで提示された「サイバーセキュリティの確認のためのチェックリスト」案

【医療機関において確認する項目】3-3
【事業者において確認する項目】3-1
ネットワーク機器(※)にセキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。(※)VPN機器を含むインターネットとの接続を制御するルータ。

信頼すべき事業者が汚染され攻撃の踏み台と化すサプライチェーン攻撃が現実となった今、アクセスポイントのネットワーク機器のみならず内部ネットワークでの監視や脆弱性対策が重要となります。
OSの脆弱性解消はセキュリティ更新プログラム適用が不可欠となりますが、常時稼働、安定運用が求められる医療システムでは十分な検証を行ったうえで適用するプロセスが重要となります。新規にシステムを導入する場合はそのような状況を想定し、仮想パッチ技術を用いた脆弱性を保護する対策を構成することをお勧めします。また、既存のシステムにおいてもネットワーク型の対策は比較的侵襲度低く導入し保護することができます。

※ApexOneの仮想パッチ機能はClient/Server Suite Premiumライセンスにて提供

【医療機関において確認する項目】4 インシデント発生時の対応
【事業者において確認する項目】4 インシデント発生時の対応

サイバー攻撃のインシデントも災害同様、事前の想定と準備が重要となります。
発生時を想定した訓練にはトレンドマイクロで開発、公開しているインシデント対応ボードゲームをお役立てください。

インシデント対応ボードゲーム医療版

また、非常時の支援についてもご相談ください。

お問い合わせ

トレンドマイクロのセキュリティソリューション

医療・介護の現場特有の課題に対し、包括的なセキュリティを提供

サイバーリスク侵害プロセスの進行を困難にさせる環境、対策が有効
1点集中での対策をすり抜けた際のリスクを低減するため、複数のポイント（場所・層）で考えることが重要

ヘルスケア領域における情報セキュリティリスクとは？

病院

患者情報の漏えいによるプライバシー侵害
電子カルテシステムの停止、遅延による業務縮退
電子カルテデータの滅失毀損による業務停止、診療報酬減少
システム障害やデータ改ざん等に起因する医療事故

クリニック・福祉介護

患者（利用者）情報の漏えいによるプライバシー侵害
医療（介護）情報クラウドサービスへの接続遮断、業務停止による報酬減少

クラウドサービス・地域連携サービス事業者

サイバー攻撃によるシステム障害
不正侵入による情報漏えい、データ改ざん

医療機器メーカー・販売保守事業者

マルウェア感染による病院のシステム障害、利用停止
現地保守、遠隔保守を通じた不正侵入、情報漏えい

病院

レセプトオンライン請求や地域連携、遠隔のシステム保守、クラウドの医療情報サービス活用、さらに今後予定されているオンライン資格確認システムの導入など医療の効率化、公衆衛生を支える仕組みのためにますます外部との接点は増加し、今や病院情報システム・ネットワークを完全な閉域で運用することは全く困難な状況にあります。

従来からデータの入出力のため外部記憶媒体やシステム保守のための端末、遠隔保守や地域連携システムのためのVPNアクセスポイントなど、直接的、間接的に繋がるポイントが多数存在しています。医療機器においてはサポートが終了したレガシーOSがセキュリティ未対策で運用され、病院情報システムではサポート対象にあるOSやソフトウェアについても、安定稼働優先を理由にセキュリティ更新プログラム（パッチ）が適用されずに運用されていることも多くみられます。「インターネットに繋がっていない環境なので安全」という認識によりネットワーク内部にあるシステムのセキュリティ対策が疎かになっているのを改め、脅威は侵入する、持ち込まれるという前提で対策を検討する必要があります。

ネットワーク分離により情報系（インターネット系）に機微情報が無いという事はありません。患者関係者とのコミュニケーション、行政当局や保険者とのやり取りなどをメールやWebを通じて行うこともありますし、研究目的で所持している個人情報の存在にも注意が必要ですので、インターネット利用環境の安全管理も重要です。

課題

医療サービスを支えるシステムの安全性確保
セキュリティレベルの異なる部門、システム環境の全体最適化
ICT利活用の拡大にともなう適切な運用管理

対策

システム単体のセキュリティ強化（認証・パッチ管理・マルウェア対策）
ネットワーク接続におけるセキュリティ強化（認証・アクセス制御・侵入検知・侵入防御）
セキュリティ対策状況のモニタリングと可視化

福祉・介護施設／クリニック

昨今のクリニックや介護施設におけるICT活用では、クラウド型の電子カルテや診療支援サービス、介護業務支援サービスなど外部接続が求められます。新型コロナ対策によりオンライン診療サービスや予約システムなどの安全管理と効率性を数少ない人員で両立していかなければなりません。また、医療でも福祉介護分野でもメール等を活用して利用者家族と連絡を取り合うこともあります。外部サービスを利用する前提として使用端末やネットワーク環境について情報セキュリティ面の「衛生管理」が重要となります。

課題

IT人材・セキュリティ人材不足への対処
情報リテラシー不足に起因するリスクの回避
クラウド利用時のリスク低減

対策

簡単に導入、運用ができるシンプルな対策
All in Oneのセキュリティ対策
施設内外でのPC、タブレット利用における安全性を確保

クラウドサービス事業者／地域連携サービス事業者

医療支援や介護支援、地域連携サービスなどを提供する、医療介護分野におけるサービス事業者も多種多様となってきました。多数の施設へサービスを提供する際、各施設内のセキュリティ状況はコントロール外のため、サービス側は脅威を媒介しないよう不正侵入、不正アクセスを防止しつつサービスを維持する必要があり、責任分界点の合意、責任共有の考え方も必要となってきます。

課題

サービスとしての安定性・安全性の担保
多種多様な外部接続から生じるリスクの最小化
共有情報・連携データの保護
サービス利用者環境の保護

対策

脆弱性対策による検知、防御と効率的な管理
多様なサーバOSやアプリケーションを対象とした保護
侵入防御、システム内部監視による不審アクセスの検知
利用者へのセキュリティサービス提供の仕組み化

医療機器メーカー・販売保守事業者

医療機器は販売前、販売・導入時、販売・導入後のフェーズでそれぞれセキュリティ対策のアプローチが異なります。製品そのものの脆弱性の解消とセキュリティ機能の実装はメーカーにより販売前のフェーズで対応されなければなりません。セキュリティに関しては販売したら終わりではなく販売後にわたっても情報提供や保守ができる仕組みを整えておくことが重要です。販売・導入の時点では、機能面、セキュリティ面の両面において導入環境への最適化を図らなければなりません。販売・導入後は保守事業者と利用者である医療機関にてセキュリティに関するアップデートを継続する運用が必要となります。

課題