近年、病院経営に脅威を与えているのが、増加する病院へのサイバー攻撃です。この記事では、病院がサイバー攻撃のターゲットにされる理由を明らかにした上で、サイバー攻撃対策の重要性を示します。また、病院に必要なサイバーセキュリティ対策について解説し、おすすめのセキュリティサービスを紹介するので、ぜひ参考にしてください。
増加する病院を狙ったサイバー攻撃
病院を狙ったサイバー攻撃は、2021年頃から増加傾向にあります。なかでも、電子カルテなどを標的とするランサムウェアによる攻撃で被害が増加しています。ランサムウェアとは、データを暗号化したり、端末をロックしたりして使用不能にするコンピュータウイルスです。ランサムウェアは攻撃者がデータや端末を人質にとり、再び使用可能な状態に戻すことを条件に金銭を要求してくるので、身代金要求型ウイルスとも呼ばれます。
警察庁によると、2022年の1年間に発生を確認したランサムウェア攻撃による企業・団体等の被害件数は230件であり、業種別にみると医療・福祉に属する業種の被害件数は20件で第3位となっています。
ランサムウェアによるサイバー攻撃の被害は、個人経営の無床診療所から大病院まで病院の規模を問わず確認されています。ここでは被害が特に甚大だった、大阪にある拠点病院の事例を紹介します。
この病院では、取引していた給食業者のシステムがランサムウェアに感染し、そこからランサムウェアが電子カルテを含む基幹システムサーバに侵入してデータが暗号化され、システムが使用できなくなりました。その結果、紙のカルテを作り、外来診療を制限することとなり、さらに救急受入だけでなく予定手術も停止するという事態に追い込まれました。
参考:警視庁 広報資料 令和4年におけるサイバー空間をめぐる脅威の情勢等について(p.4)
病院へのサイバー攻撃はなぜ起きる?
サイバー攻撃はサイバーセキュリティへの意識が低く、セキュリティ対策が適切に行われていないことが原因で起こります。例えば、脆弱性の修正プログラムが公表されているにもかかわらず、ソフトウェアを更新せずに、既知の脆弱性を残したままにしていると、攻撃者はその脆弱性を狙ってサイバー攻撃をしかけてくるので大変危険です。また、病院独自のシステムを運用している場合に、予算やIT人材の不足でメンテナンスが行き届かず脆弱性が残っていると、その脆弱性に対して攻撃が行われます。
また、病院は患者の氏名や連絡先だけでなく、患者の病名、検査結果、治療の記録など極めて重要で機密性が高い個人情報を保持しています。サイバー攻撃で盗み出した電子カルテなどのデータは、闇サイトを通じて高値で売却することが可能です。さらに、金銭目的の攻撃者は病院という存在を、機密データを人質にして脅迫すれば機密情報を守るために身代金を払う可能性が高い相手と考えているため、より狙われやすくなっています。
厚生労働省も呼びかける医療業界におけるサイバー攻撃対策の重要性
厚生労働省は令和5年4月からマイナンバーカードを健康保険証として利用するためのオンライン資格確認の導入を義務化したことで、医療業界におけるサイバー攻撃対策の重要性を呼びかけています。これに関連して厚生労働省が提示したのが「医療情報システムの安全管理に関するガイドライン 第6.0版」です。同ガイドラインにより、病院だけでなく薬局や介護事業者等をも含めた医療機関等にネットワーク関連のセキュリティ対策が全面的に求められることとなりました。
また、改正された医療法施行規則が令和5年4月1日から施行され、病院、診療所、助産所に3つに対しては、サイバーセキュリティの確保が義務付けられました。
参考:厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版
参考:厚生労働省 医療法施行規則の一部を改正する省令について
病院に必要なサイバーセキュリティ対策とは?
サイバー攻撃を防ぐためには、組織的、人的、技術的、物理的対策が必要です。
組織的対策としては、病院内に情報システム部門を設置して体制を強化することが挙げられます。
人的対策としては、病院職員のサイバーセキュリティへの意識を高めて、全職員がセキュリティ対策の重要性を十分に認識する必要があります。そのためには、サイバーセキュリティに関する意識向上をはかるためのITリテラシー研修等が有効です。
技術的対策としては、すべてのソフトウェアを常に最新版に更新して、既知の脆弱性を解消しておく必要があります。ファイアーウォールやウイルス対策ソフト、脆弱性診断が行える対策ツールなどの導入もサイバー攻撃の防止に効果的です。
物理的対策としては、入退室管理や端末画面の覗き見防止対策などがあります。
病院・医療機関・クリニックに特化したセキュリティサービス「Ryobi-MediSec」
前述したような病院に求められるサイバーセキュリティ対策を網羅できるサービスとしておすすめなのが「Ryobi-MediSec」です。以下に医療機関の規模に応じた「Ryobi-MediSec」の6つのサービスラインナップを紹介します。
1. アセスメントおよびセキュリティリスク診断サービス
アセスメントおよびセキュリティリスク診断サービスでは、脅威を可視化します。
リスク評価からセキュリティ対策の立案までコンサルタントが助言するのが、ガイドラインチェックサービスです。導入規模の目安は小規模(200床未満)、中規模(200-400床未満)、大規模(400床以上)であり、初期費用として1,500,000円が必要です。
VPN機器のファームウェアや設定情報を診断する、小規模~大規模医療機関向けのVPN機器診断サービスでは、300,000円の初期費用がかかります。
大規模医療機関向けのサイバー攻撃リスク可視化サービスは、サプライチェーン全体の公開情報を含めたセキュリティリスク対応状況を把握・評価するサービスで、初期費用として800,000円が必要です。
2. セキュリティ機器の導入・エンドポイント対策
セキュリティ機器の導入・エンドポイント対策では、セキュリティ強化対策や二要素認証を行います。
小規模医療機関向けUTM(統合型セキュリティアプライアンス)を用いて医療情報ネットワークを保護するのが、UTM導入サービスです。導入規模の目安はクリニック(PC10台未満)~小規模で、初期費用は製品が1台につき200,000円、構築サービスは150,000円で、別途月額費用がかかります。
EDR導入サービスは、EDR(Endpoint Detection and Response)でエンドポイントを強化して、ランサムウェアの感染等から組織を守ります。すべての規模が導入対象となり、初期費用は製品が1台につき12,000円、構築サービスは500,000円で、別途月額費用が必要です。
DDI導入サービスは、不正通信を捕らえて標的型攻撃やゼロディ攻撃を検出する製品です。中規模・大規模医療機関向けで、初期費用は製品が1台につき5,000,000円、構築サービスは800,000円で、別途月額費用がかかります。
二要素認証ARCACLAVISは、シングルサインオン対応の多要素認証セキュリティソリューションです。すべての規模が導入対象となり、初期費用と月額費用は個別見積となります。
3. 医療機関の規模に応じたSOCサービス
医療機関の規模に応じたSOC(Security Operation Center)サービスでは、セキュリティの運用監視を行います。
Mini-SOCサービス forEDRは、EDRライセンスと運用監視がセットになった、クリニックや小規模医療機関向けのセキュリティパッケージで、初期費用として監視環境設定に100,000円かかり、SOCサービスの月額費用は1台につき1,600円です。
Mini-SOCサービス forUTMは、クリニックや小規模医療機関向けで、UTMの機器監視とファームウェア・バージョンアップをリモートで行います。初期費用として監視環境設定に100,000円かかり、SOCサービスの月額費用は1台につき10,000円です。
Standard-SOCサービス forEDRは、中規模・大規模医療機関向けで、EDR導入済みの医療機関への24時間監視を行います。初期費用として監視環境設定に200,000円かかり、SOCサービスの月額費用は1台につき2,000円です。
Standard-SOCサービス forUTMは、中規模・大規模医療機関向けで、UTM製品(FortiGate/PaloAlto)を導入済みの医療機関への24時間監視を行います。初期費用として監視環境設定に350,000円かかり、SOCサービスの月額費用は1台につき230,000円です。
Standard-SOCサービス forDDIは、中規模・大規模医療機関向けで、DDI導入済みの医療機関への24時間監視を行います。初期費用として監視環境設定に300,000円かかり、SOCサービスの月額費用は1台につき250,000円です。
4. 人的セキュリティリスク教育・訓練サービス
人的セキュリティリスク教育・訓練サービスでは、医療機関の規模を問わず、職員向けに教育訓練を行うセキュリティ研修サービスと標的型メール訓練サービスを提供しています。セキュリティ研修サービスの初期費用は300,000円から、標的型メール訓練サービスの初期費用は620,000円からです。
5. セキュリティリスクの移転ならびに補償
セキュリティリスクの移転ならびに補償では、医療機関の規模を問わず、セキュリティリスクを移転して補償を保険会社から受けられる、サイバーセキュリティ保険を提供しています。
6. 専任SEによるセキュリティインシデント対応
専任SEによるセキュリティインシデント対応では、医療機関の規模を問わず、インシデント発生時に専門エンジニアが調査を実施して復旧対策を提案する、Ryobiインシデントレスポンス119サービスを提供しています。費用はインシデント発生の都度見積です。
まとめ
病院はサイバー攻撃の標的となる可能性が高く、攻撃を受けて電子カルテのデータなどが流出したり、使用できなくなったりした場合には甚大な被害が出ます。サイバー攻撃を未然に防ぐには、セキュリティ対策が欠かせません。小規模医療機関向けのセキュリティサービスには、Mini-SOCサービス forEDR、Mini-SOCサービス forUTM、標的型メール訓練サービスがセットになった「Ryobi-Medisec 安心パック」もあります。各病院の規模や環境に応じた対策を講じて、万全なセキュリティを確立しましょう。
