ALSI (アルシー)

アルシー セキュリティブログ

今の対策で大丈夫? コストを抑えつつサイバー攻撃の脅威から医療機関を守るセキュリティ対策とは ~医療ガイドラインに記載の対策法をご紹介!~

病院・医療機関におけるセキュリティの現状

近年、医療機関を狙ったサイバー攻撃が増加しています。医療機関では患者の命にかかわる可能性もあるため、強靭なセキュリティ対策を行うことが重要です。

最近では、ランサムウェア攻撃※1に加え、その他、サポート詐欺※2被害も増加しており、医療機関において以下をはじめとした被害が報告されています。

直近での医療機関におけるランサムウェア被害例

発生時期

概要

2024年2月

画像管理サーバが、ランサムウェア攻撃を受け、診療記録のPDFファイルの一部が暗号化された。攻撃者から身代金の具体的な要求は示されていないが個人情報の漏洩の可能性を指摘されている。

2023年11月

財務会計システムサーバに外部からの不正アクセスがあり、取引先の口座情報などが漏洩した可能性がある。

2023年6月

第三者による不正アクセスにより、院内システムの一部データの暗号化と脅迫文が送られる。氏名や住所などといった患者情報を始めとした情報が流出した可能性がある。

直近での医療機関におけるサポート詐欺被害例

発生時期

概要

2023年12

インターネット検索をしていた職員が悪意ある広告に誘導され、画面に表示された電話番号に連絡した。遠隔操作を行うためのソフトをインストールさせられ、患者情報が保存されたパソコンを第三者によって一時遠隔操作された。電子カルテなどの医療情報システムについては、インターネットから分離しており、今回の被害による診療への影響については否定。

2023年10

サポート詐欺により、過去の学会発表資料やレントゲン写真などが保存されていたパソコンを遠隔操作され、診療内容など要配慮個人情報が流出した可能性がある。

2023年4

サポート詐欺によってパソコンを遠隔操作され、最大で約49000件の患者情報が流出した可能性があることが発表された。情報の悪用がされたかは報告されていない。

増加傾向にあるランサムウェアや標的型攻撃の被害の攻撃の入口として、近年VPNの脆弱性やメールからの侵入が注目されていますが、同様にインターネット経由の攻撃にも気を付ける必要があります。

最近では、医療機関でもサポート詐欺の被害が確認されており、金銭の要求や不正に端末にログインされることもあることから、インターネットからの脅威対策も同様に行う必要があります。

1:身代金を意味するランサムとソフトウェアを組み合わせた名称。ランサムウェアに感染すると端末にあるデータを暗号化して使用できない状態にし、暗号化したデータを修復することへの引き換えとして金銭などを要求されます。

2Web閲覧中に突如ウイルスに感染したと思わせる画面を表示し不安にさせ、最終的に金銭のだまし取りや情報の取得を試みようとする手法です。IPAの調査によると業種関わらず、2023年後半から相談件数が増加しており、202310月では500件を超えております。

※出典:IPA 独立行政法人情報処理推進機構 https://www.ipa.go.jp/security/anshin/attention/2023/mgdayori20231219.html

医療機関におけるセキュリティ対策に向けた国の動き

近年ランサムウェアを始めとした医療機関に向けたサイバー攻撃が多発していることから、対策を強化する必要があるとして、国では、以下をはじめとした取り組みが進められています。医療機関においてはこれらの取り組みに対してセキュリティ対策の強化が求められています。

①「医療情報システムの安全管理に関するガイドライン」第6.0版への改定

医療機関を標的としたサイバー攻撃が相次いで発生したことを受け、厚生労働省は20235月に医療機関向けのセキュリティ対策のガイドラインを改定しました。ガイドラインの改定ポイントについては、ホワイトペーパーでまとめましたのでぜひこちらもご覧ください。

②セキュリティチェックリストの発出

2024年5月には、今年度において実施する必要があるセキュリティチェックリストが発出されました。内容としては、最低限取り組むべきセキュリティ対策として医療機関向けに19項目、事業者向けに14項目抽出されています。チェックリストでは、最低減取り組むべき項目のみの記載となっていますので、サイバー攻撃への対策としては不足しています。そのため、ポイントとしてはチェックリストでの対策を行った上で、ガイドラインなどを踏まえたセキュリティ対策を行っていく必要があります。

202407-1.png

※出典:厚生労働省「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト(令和65)

医療ガイドラインには、以下をはじめとした対策法が明記されています。

・外部からのデータ持込み時のウイルスチェック

・記録媒体の暗号化

・アクセス権限の管理

・マクロ等の利用停止、メールやファイルの無害化の例示

・ネットワークの構成分割やネットワーク間のアクセス制御

今回はその中の対策法の1つである、インターネット分離についてご紹介します。

インターネット分離の必要性

サイバーセキュリティ対策の1つとして、医療系システムと業務系システムを分ける「インターネット分離」があります。

メールやWebの閲覧を行うためには、インターネットの接続が必要です。しかしその反面、マルウェア感染リスクが非常に高くなります。マルウェアに感染することによって個人情報や機密情報などが流出してしまう可能性も出てきます。

そこで、個人情報や機密情報が含まれるものは、インターネットに接続しない端末に集約します。

これによって、インターネットに接続できる端末でマルウェアなどに感染してしまった場合でも、インターネットに接続しない端末への感染を予防できるメリットがあります。

情報漏洩対策や感染拡大を予防するには、特に患者情報など命にかかわる可能性のある情報も保有している医療機関を中心に、インターネット分離による対策は重要な方法の1つであると考えられます。

医療のネットワーク構成

実際に医療情報システムの安全管理に関するガイドラインでは、インターネットを分離する必要があるとされています。病院を始めとしたネットワーク構成としては、大きく以下に分けられます。

・インターネットから分離している病院内ネットワーク

・インターネットに接続されている外部接続ネットワーク

202407-2.png

医療機関におけるインターネット分離の課題と解決策

インターネットを分離することで、ウイルス感染した端末から電子カルテシステムへの侵入を防ぐことができ、高いセキュリティ対策が行えるメリットがあります。

その反面、ソフトウェア費用などが重なって高額となる、利便性や業務効率が低下するなどのデメリットがあります。

インターネット分離には、物理的に端末を分離する「物理的分離方式」と「論理分離方式」の2つの方式があります。

■物理分離方式

インターネットに接続する端末と、インターネットに接続しない端末を物理的に分けて運用するため、コストが多くかかることや、利便性や業務効率の低下といった問題が残ります。

■論理分離方式

インターネット接続を画面転送により分離します。論理分離方式は、大きく分けて3種類に分けられます。

・仮想デスクトップ方式

・セキュアブラウザ方式

・仮想ブラウザ方式

主流の「仮想デスクトップ方式」はいわゆるVDISBCのことで、ライセンスや維持コストが非常に高い点、利便性が損なわれる点が課題です。

「セキュアブラウザ方式」は、仮想デスクトップ方式と比べてコストは抑えられますが、専用ブラウザが必要なため、利便性の課題は払拭できません。そこで、利便性を損なわずにコストも抑えることができる方式として注目されているのが「仮想ブラウザ方式」です。

202407-3.png

「仮想ブラウザ方式」では、インターネットからWeb画面を画像化した状態でローカルPCに転送するため、直接Webアクセスせずに遠隔で操作ができます。「仮想デスクトップ方式」と比較して、仮想ブラウザ方式はLinuxベースのため、CALなどの費用が削減できます。更に、普段利用するChromeEdgeなどのブラウザを利用でき、専用のブラウザと標準ブラウザを使い分ける必要もありません。

ALSIではこの「仮想ブラウザ方式」でインターネット分離・無害化ができる「Secure Gateway Suite」を提供しています。

医療向けソリューション

Secure Gateway Suite」とは、電子カルテシステムからでも安全にインターネットにアクセスをすることができるオンプレミス型Webフィルタリングファイル無害化 Web分離・無害化の機能を統合したパッケージ製品です。電子カルテシステムからでも安全にインターネットにアクセスすることができます。

202407-4.png

Secure Gateway Suiteでできることをご紹介します。Web分離・無害化では、Webサイト情報を画像化したものを閲覧する仕組みとなっています。直接インターネットにアクセスしない仕組みとなっているため、院内ネットワークからWebメール、Webを閲覧して情報収集が可能になります。そのため、インターネット系ネットワークの端末台数を削減します。また、Webからのダウンロードデータも自動で無害化しますので、安心してインターネットからの資料を直接院内パソコンにダウンロードできます。加えて、これまでVDIなど利用している場合は、WindowsOSMicroSoftライセンス、VDAライセンスなども必要でしたが、Secure Gateway Suiteの場合は不要になるため、コストも大幅に削減できます。

SecureGateway Suite導入時のWebサイトへアクセスする際の構成イメージ

202407-5.png

医療機関において、「Secure Gateway Suite」を利用する際のメリットは「利便性の向上」と「低コスト」の2点です。

お客様から問い合わせがあった場合に専用PCまで移動する必要がないため、不明な部分はすぐに調べて回答し、薬などのマニュアルも電子版ですぐ確認することができます。メールも通常端末から利用できます。

ファイルをダウンロードする際に特別な操作が必要なく、普段通りの使い勝手でファイルを無害化できるため、業務への負担を軽減でき、利便性や業務効率の向上につながります。

また、インターネット利用と医療システムのPCを別々に用意しなくても、医療システム側からインターネットにアクセスできるため、端末台数を削減します。MicrosoftVDAなどのライセンス費用も不要なため、分離コストを抑えることができます。

まとめ

医療機関においてサイバー攻撃が増加しており、セキュリティ対策は急務となっています。医療情報システムの安全管理に関するガイドラインが改訂され、セキュリティチェックリストが発出されました。医療機関はセキュリティ対策を徹底し、患者情報の漏洩や被害を防止することが求められています。今回は、インターネット脅威への対策としてインターネットを分離する方法をご紹介しました。

医療機関におけるセキュリティ対策についてお悩みの方はもちろん、インターネット分離製品について詳しい情報をお知りになりたい場合も、ぜひALSIにご相談ください。

contact.png

おすすめ記事

最新記事

市場動向

【金融業界必見!】金融ガイドラインに沿ったWebセキュリティ対策とは?

ネットワーク分離フィルタリング市場動向

【金融業界必見!】金融ガイドラインに沿ったWebセキュリティ対策とは?
市場動向

【医療機関におけるサイバーセキュリティの最前線】VPNと分離環境の課題を解決する方法とは?

ネットワーク分離医療市場動向

【医療機関におけるサイバーセキュリティの最前線】VPNと分離環境の課題を解決する方法とは?
ランサムウェア対策

金融庁サイバーセキュリティガイドライン策定!金融機関が対処すべきセキュリティ対策のポイントとは

エンドポイントセキュリティゼロトラストランサムウェア対策市場動向

金融庁サイバーセキュリティガイドライン策定!金融機関が対処すべきセキュリティ対策のポイントとは