医療機関を狙ったサイバー攻撃
警察庁が発表した医療・福祉分野におけるランサムウェア被害件数は令和3年~4年にかけて右肩上がりで増加しています。
※警察庁「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」2024年3月
医療機関におけるサイバー攻撃被害が増加したことにより、2023年6月に厚生労働省から「医療情報システムの安全管理に関するガイドライン第6.0版」(以下、ガイドライン)が公開されました。
ガイドラインの改訂ポイントに関してはこちらのホワイトペーパーでまとめています。
ぜひご覧ください。
ランサムウェア被害において、医療機関では以下をはじめとした「VPNの脆弱性に伴うサイバー攻撃」が多発しており、VPNの対策が重要となっています。
◆VPNの脆弱性を狙った医療機関のランサムウェア被害事例
・2021年10月
徳島県の病院で、電子カルテなどの院内システムが攻撃を受け、約8万5千人分の患者データが暗号化され、通常診療再開までに2か月以上を要しました。
・2022年10月
大阪の医療機関でVPNの脆弱性を狙った攻撃が発生し、復旧までに2ヶ月を要しました。
・2024年6月
VPNの脆弱性による攻撃で、最大約4万人の氏名や生年月日、居住する市町村、病名、入院期間などの個人情報が漏洩した可能性があります。
VPN経由のサイバー攻撃に有効な対策とは?
本来VPNは安全な通信手段ですが、医療機関がVPNを安全に運用するためには、以下の3ステップで脆弱性管理を行う必要があります。
・セキュリティ研究機関などから発信されるアラート、VPN機器ベンダーからのセキュリティ情報の公開を定期的にチェック
・報告された脆弱性が自社のVPN機器に該当しないか確認
・脆弱性が見つかった場合、速やかにベンダーが提供するパッチを適用
常に必要なパッチを適用することで、機器を最新の状態に維持することが可能です。しかし、年間71回ものパッチがリリースされているVPN機器もあり、現実的な運用は難しいのが実情です(※1)。最近ではVPNを利用せずに境界防御を行う「脱VPN」の動きも見られます。
(※1)参照:IPA「JVN iPedia」2023年11月~2024年11月
ALSIでは、コストを抑えつつ、IT担当者による脆弱性管理が不要な「脱VPNを実現するセキュリティソリューション」を提供しています。
VPNのようにID・パスワードを入力する必要がなく、高度な通信による安全なSaaSアクセス、閉域接続を実現できます。製品についてはこちらをご覧ください。
インターネット分離における現状と課題
ガイドラインに記載のサイバーセキュリティ対策の1つとして、医療系システムと業務系システムを分ける「インターネット分離」があります。以前からガイドラインで求められている対策であり、インターネット分離を行っている医療機関は多いと考えられます。
インターネット分離は、院内ネットワークへの感染や、情報漏洩を防ぐ効果がある一方で、コストや利便性の課題があります。
コストに関しては、物理的に分離をすることで台数分の端末コストや回線費用などがかかります。また、VDIやSBCを利用している場合、ハードウェアやライセンス費用などで高額になりやすくコスト削減が望ましいと考えられます。
利便性に関しては、用途に応じて端末を使い分ける必要がある、VDIにおいて院内OSからインターネットアクセスするまでに手順が多い、などの課題があます。
インターネット分離の課題を解消するには
「利便性を向上しつつ、インターネット分離におけるコストの課題を解消する」ソリューションとして、ALSIではインターネット分離・無害化ソリューションの「Secure Gateway Suite」を提供しています。
Secure Gateway Suiteでは、Webフィルタリングによる危険なサイトや閲覧不要なサイトへのアクセスブロック、画面転送による安全なWeb閲覧、インターネットからの安全なファイルダウンロードを1つのパッケージで実現します。
「コスト」においては、Webの実行環境のみInterSafe WebIsolationで分離させるため、病院内ネットワークから直接Web閲覧が可能となり、インターネットのWeb閲覧用端末を削減できます。
「利便性」においては、病院内ネットワークからWeb閲覧が可能となるため、調べものや必要なデータダウンロード業務を1台の端末で行うことができ、業務効率化につながります。また、ファイルダウンロード時は自動で無害化を行うため、安全性も確保できます。
「Secure Gateway Suite」について詳しくはこちらをご覧ください。