国内ランサムウェア3事例から学ぶ中小病院におけるサイバーセキュリティ対策 / Cybersecurity Learned from Cases

Transcript

1. Copyright © Henry, Inc. All rights reserved. 2025年6月 株式会社ヘンリー VP

   of Technology Kengo TODA 株式会社ヘンリー ウェビナー 国内ランサムウェア3事例から学ぶ 中小病院における サイバーセキュリティ対策

2. Copyright © Henry, Inc. All rights reserved. 1. 医療機関の経営者の方々にとって、次に挙げる機会を提供する a.

   サイバーセキュリティ対策についての国の期待値を知る機会 b. サイバーセキュリティ対策をはじめる取っ掛かりを得る機会 c. サイバーセキュリティ対策のための組織とベンダーコミュニケーションを考える機会 2. 医療機関の情報システムご担当の方にとって、判断と業務の助けを提供する a. アクションの優先付けを行うための情報 b. 職員向け教育の教材ならびに根拠 3. クラウドネイティブ電子カルテの強みをご説明する 本日のねらい 2

3. Copyright © Henry, Inc. All rights reserved. 弊社では中小病院向けにクラウドネイ ティブなレセコン一体型のクラウド電 子カルテを提供しています。

   お客様と正確なリスク・コミュニケー ションを行うためには医療機関様にお けるリスク・マネジメントを理解する 必要があるため、社内でランサムウェ ア事例の勉強会をしてきました。 本日はその内容を30分に圧縮してわか りやすくお届けするように努めます。 弊社内で開催したランサムウェア事例勉強会をもとにしています 3

4. Copyright © Henry, Inc. All rights reserved. 1. 登壇者自己紹介 2.

   医療機関におけるサイバーセキュリティ対策 3. 立入検査で利用されるチェックリストの解説 4. サイバーセキュリティに詳しい人がいない場合 5. チェックリストに追加で検討できること 6. 質疑応答 本日のアジェンダ 4

5. Copyright © Henry, Inc. All rights reserved. 戸田 健互（とだ けんご）

   39歳。15歳からシステム開発に親しみ、 22歳で大企業向け基幹システムを内製する 日系企業に入社。自身や家族の通院や入院 を契機に医療の継続性に関心を持つ。 医療情報技師、ならびに情報セキュリティ の国家資格である情報処理安全確保支援士 （登録番号 028693）を取得。 登壇者自己紹介 5

6. Copyright © Henry, Inc. All rights reserved. 医療機関における サイバーセキュリティ 対策

   6

7. Copyright © Henry, Inc. All rights reserved. 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式 （略）により記録され、又は発信され、伝送され、若しくは受信される情報の漏 えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並び

   に情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必 要な措置（略）が講じられ、その状態が適切に維持管理されていること サイバーセキュリティ基本法第2条 サイバーセキュリティとは 7

8. Copyright © Henry, Inc. All rights reserved. 令和５年４月１日に施行された医療法施行規則の一部を改正する省令により、病 院などの管理者に対してサイバーセキュリティを確保するために必要な措置を講 じることが義務化されました。

   医療の質を向上するため、またDXを実現する手段として医療現場のデジタル化が 進んでいます。医療機関は要配慮個人情報を大量に扱っており、情報を安全に扱 うことが求められます。 厚生労働省にて「医療分野のサイバーセキュリティ対策について」というウェブ サイト[1]が公開されており、関連情報がまとまっています。 サイバーセキュリティ対策とは [1] https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html 8

9. Copyright © Henry, Inc. All rights reserved. 政府は「医療DX 令和ビジョン2030」で全国医療情報プラットフォームを構築 し、2030年までにほぼ全ての医療機関のデータを相互に閲覧可能にする工程表を

   提示しています。 一方でシステムを共有する機関のうち数か所でもサイバーセキュリティが充分で ないと、そこから情報が漏洩する可能性が出てきます。たとえば大阪急性期・総 合医療センター様の事例では、給食システムから病院に侵入されています。 よって医療機関ないし関係事業者におけるサイバーセキュリティの「底上げ」が 求められており、特に個人情報を扱う主体である医療機関において対応が求めら れております。 9 なぜ今、サイバーセキュリティなのか？

10. Copyright © Henry, Inc. All rights reserved. 大分県立看護科学大学の「医療提供者 が起こした個人情報漏えいの事故原因 に関する研究」[2]（2018年）によれ

    ば、不正アクセス以外にも盗難、誤操 作、紛失などによっても個人情報は漏 洩しています。 院内における医療情報の5W1Hを理解 し、複数のアプローチを組み合わせて サイバーセキュリティ対策を打ってい く必要があります。 脅威としてランサムウェアが注目されているが、それだけではない [2] https://www.oita-nhs.ac.jp/site/daigakuanai/474.html 10

11. Copyright © Henry, Inc. All rights reserved. 自治体による立入検査で使用するために厚生労働省が示している「医療機関にお けるサイバーセキュリティ対策チェックリスト」を参照するのが最適と思われま す。必要最低限に絞った令和5年度から回数を重ね、本年度は3回目の実施です。

    このチェックリストを順を追って対応することで、院内の規程や体制が作られ、 より複雑な打ち手を打ちやすくなっていくと期待できます。またステークホル ダーに対し、必要性の説明がしやすくなると思われます。 複数のアプローチとは言うが、結局どこから着手すればいいのか？ 11

12. Copyright © Henry, Inc. All rights reserved. 立入検査で利用される チェックリストに ついて

    12

13. Copyright © Henry, Inc. All rights reserved. 台帳管理が起点として重 要です。院内にどのよう なサーバや機器がどう使

    われているのかを確認し ましょう。 リモート保守は事業者間 で設置のやりとりをし、 病院は認知していなかっ た事例もあるようです。 対策チェックリスト 13

14. Copyright © Henry, Inc. All rights reserved. 院内にVPNサーバを置くことは攻撃の可能性をつくることですから、事業者は医 療機関に断りなく実施するべきではありません。 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ

    イドライン」で、国は事業者に対して医療機関にリスクを伝えることを求めてい ます。言い換えると、リスクの扱いは事業者 ではなく医療機関が決めることが求められて います。 リスク・コミュニケーションについての 詳細はnote記事[3]を参照ください。 14 リスク・コミュニケーションについて [3] https://note.com/henry_app/n/n5a559be5c038

15. Copyright © Henry, Inc. All rights reserved. MDS/SDSは事業者に提 出させ、非該当・いいえ ・対象外となっている項

    目について認識があって いるか確認しましょう。 なおMDS/SDSの書式は Ver 5.0（2024年9月） が最新です。 対策チェックリスト（1/6） 15

16. Copyright © Henry, Inc. All rights reserved. システムやOSなどの管 理権限は日常業務で利用 しないようにします。

    退職者や使用していない アカウントを削除・無効 化するプロセスを整えま しょう。短期だけ入る職 員の管理も、共有アカウ ントを使わずに実現でき るのが理想です。 対策チェックリスト（2/6） 16

17. Copyright © Henry, Inc. All rights reserved. 作業用端末やアカウント数で課金額が決まる一部のSaaSなどについて、共有アカ ウントを用いることで運用の手間と金銭コストを下げる場合があります。 これは一見合理的ですが、仮にログが保全できていたとしても「その操作が誰に

    よって行われたのか」が特定できないため、個人情報を扱うシステムでの利用は 避けたほうが良いです。同様の理由から、ゲストアカウントでもアクセスできる 共有フォルダに個人情報を置くことも避けるべきでしょう。 17 共有アカウントのリスク

18. Copyright © Henry, Inc. All rights reserved. 岡山県精神科医療セン ター様の報告書 （8.3.7）では「一般的

    なソフトウェア開発 Framework を使用する 限り、Windows Update の弊害はないといえる状 況にある」としていま す。一方で24H2におけ るファイル共有の仕様変 更の例もあるため、情報 の収集と判断は都度必要 です。 対策チェックリスト（3/6） 18

19. Copyright © Henry, Inc. All rights reserved. 統制が取れていない状態 での適用は難しいため、 まずは医療情報システム

    運用管理規程によって職 員に対する制限を行い、 徐々に仕組みによる統制 を行う形を検討くださ い。 職員教育が重要ですの で、教育プロセスの見直 しや徹底が欠かせませ ん。 19 対策チェックリスト（4/6）

20. Copyright © Henry, Inc. All rights reserved. 半田病院様の事例では VPNサーバのアクセスロ グが保全されておらず、

    岡山県精神科医療セン ター様の事例ではファイ アウォールないしVPN装 置のログが直ちに取得で きない状態でした。 事業者と連携して誰の責 任なのか、緊急時にはど う連携するかを確認しま しょう。 20 対策チェックリスト（5/6）

21. Copyright © Henry, Inc. All rights reserved. 厚生労働省の資料や事業者とのコミュニケーションで、責任分界点という「どこ からどこまでが医療機関の責任で、どこから先が事業者の責任か」の話がされる ことがあります。ガイドライン

    6.0版（経営管理編）には • 情報セキュリティインシデントの原因・影響等に関する説明責任 • 再発防止策等の善後策を講じる責任 • 受託事業者の過失等に対する管理責任 が医療機関等における責任として明記されています。そしてこれらを全うするた めには、医療機関がシステム全体について詳しいことが欠かせません。 チェックリストが台帳の管理を求めているように、医療情報システムの運用や実 態についてひろく医療機関が把握することは、ベンダー丸投げを脱却する第一歩 となります。 21 責任分界点を明確にすることは、医療機関にとって大切です

22. Copyright © Henry, Inc. All rights reserved. 運用管理のあるべき姿を 文書におこし、管理規程 として定めます。経営や

    IT管理部門のみならず、 各部門システムを利用す る部門との連携も見据え て策定する必要があるた め、時間がかかります。 22 対策チェックリスト（6/6）

23. Copyright © Henry, Inc. All rights reserved. 院内の情報や端末、機器の情報を集めて台帳を作成し、実態を掴むところから始 めましょう。セキュリティパッチをあてられないOSやシステム、アカウント管理 がチェックリストどおりに運用できないOSやシステムを把握し、そこから情報が

    漏洩した場合の対応を検討しましょう。 複数事業者が関係している境界部分は特に責任が不明瞭なことが多いため、契約 を確認して責任分界点を明確にするよう努めましょう。 またMDS/SDSを集めることで、いまの医療情報システムの課題が見えてきます。 事業者が行うリスク・コミュニケーションに耳を傾け、リスクをどう扱うか検討 してください。 23 対策チェックリストまとめ

24. Copyright © Henry, Inc. All rights reserved. サイバーセキュリティに 詳しい人がいない場合 24

25. Copyright © Henry, Inc. All rights reserved. 半田病院様のサイトで公開されている「コンピュータウイルス感染事案有識者会 議調査報告書ー技術編ー」[5]にはActive Directory

    Group Policy の強化設定が 64ページにわたり掲載されています。これを理解し運用に落とし込める人材がい ない医療機関も多いのではないでしょうか。 Active Directoryのような長い歴史のあるシステムは、なんでもできる反面、運 用が複雑化することがあります。より自由度の低い、パターン化されたシステム を適用することで運用の難度を下げられる可能性があります。 Windowsグループポリシーを設定するだけでも、かなり大変 [5] https://www.handa-hospital.jp/topics/2022/0616/index.html 25

26. Copyright © Henry, Inc. All rights reserved. こうした対策にはシステムの新規導入や端末のリプレイスといった手間と資金が 必要になります。しかし診療報酬への影響は限定的で、投資をためらう方も多い と存じます。サイバーセキュリティは診療報酬を底上げる施策ではなく将来的な

    トラブルに対するリスク管理である、という点が問題を難しくしています。 たとえば大阪急性期・総合医療センター様の事例では、調査・復旧に掛かった費 用が数億円以上、診療制限に伴う逸失利益は数十億円の規模に達すると見込まれ ています[4]。一方で原因となった給食システムを使っていた他の2医療機関では 対策が行われており、侵入を免れました（大阪事例報告書 5.7.3）。 人件費率の高い医療機関においてこうした投資が難しいことは疑いのない事実で すが、まずは収入のn%をセキュリティにかける、というように予算を決め、やれ るところから取り組まれてはと考えます。 26 サイバーセキュリティはお金がかかる……ように見えるが、実は安いかもしれない [4] https://dcross.impress.co.jp/docs/column/column20240314/003608-2.html

27. Copyright © Henry, Inc. All rights reserved. 作業端末をWindowsではなく Chromebookとすることで、端末管 理を容易にしマルウェアやランサム

    ウェアへの対策を高めることができ ます。コストを下げることにも繋が ります[6]。 ログインにGoogleアカウントを利用 するため端末がインターネットに接 続可能である必要はありますが、こ れはセキュリティパッチ適用や定義 ファイルの更新、暗号化のための時 刻合わせといった観点からは他の端 末でも必要となります。 たとえばChromebookを使うという選択肢 27 [6] https://services.google.com/fh/files/misc/idc_business_value_of_chrome_os_paper.pdf 参考資料 非公開

28. Copyright © Henry, Inc. All rights reserved. 厚生労働省の「医療分野のサ イバーセキュリティ対策につ いて」ページからもリンクさ

    れているサービスです。 サイバーセキュリティ対策の とっかかりが得られない場 合、あるいは事業者の見積が 高いと感じた場合に検討され てはと思います。 サイバーセキュリティお助け隊サービス[7]を使う 28 [7] https://www.ipa.go.jp/security/otasuketai-pr/

29. Copyright © Henry, Inc. All rights reserved. 職員教育はサイバーセキュリティ対策においてとても重要、かつランニングコス トがかかります。厚生労働省委託事業である医療機関向けセキュリティ教育支援 ポータルサイト[8]が公開する資料を流用することで、準備の手間を減らし質を確

    保できます。 また半田病院様や大阪急性期・総合医療センター様のインタビュー記事もあり、 経営者研修も用意されているため、経営層の意識付けのきっかけにもできます。 研修は申し込み時期が限られていますので、ご注意ください。 医療機関向けセキュリティ教育支援ポータルサイトを使う 29 [8] https://mist.mhlw.go.jp/

30. Copyright © Henry, Inc. All rights reserved. 大阪事例報告書をはじめとして「医療機関はシステムの専門家ではないため、業 界で共有される仕組みが各医療機関を監督するべき」という意見があります。 しかし登壇者の意見としては、あまりうまくないと感じています。医療機関にお

    けるサイバーセキュリティ対策や情報の流通設計はそのまま経営判断ですから、 コンテキストを共有しない部外者の決断を待ったりポリシーに振り回されたりす るのも妙な話です。 ベンダー丸投げの脱却という観点からも医療機関内、できればその経営層にシス テムを理解している医療情報システム安全管理責任者を設置することは目指した ほうが良いと考えています。 30 それでも最後は、詳しい人を探したほうが良さそう

31. Copyright © Henry, Inc. All rights reserved. まとめ 31

32. Copyright © Henry, Inc. All rights reserved. 厚生労働省が提供するチェックリストは非常に少ない項目で参照しやすく、また 医療機関が医療情報システムのコントロールを取り戻すうえで効果的な施策がま とまっています。まず台帳を作成して実態を把握し、規程の策定を通じてあるべ

    き姿を描き、システム整備と職員教育を通じて実現していきましょう。 「ベンダーに任せればサイバーセキュリティは盤石」とはならないことや、閉域 網が安全ではないことは、過去事例の報告書から明らかです。最終責任者である 医療情報が絵を描きベンダーはそれを支援する形とすることがガイドラインが目 指している姿ですが、人材や資金の観点から一足飛びに実現できるものではあり ません。国の支援を受けつつ「靴に足を合わせる」ことで、低コストに安全な医 療情報システムの構築を目指してはいかがでしょうか。 32 国のチェックリストから始めてベンダー丸投げからの脱却を

33. Copyright © Henry, Inc. All rights reserved. 株式会社ヘンリーは中小病院向けクラウドネイティブ電子カルテを業界で唯一展 開しているベンダーです。 弊社サービスはクラウドに最適化されたシステムですから、世界的大企業が提供

    するセキュリティのうえに構築されております。院内でも最新のOSやシステムが 使えるようになるうえ、サーバ室やカルテ庫を抱える必要性から開放されます。 クラウドネイティブを事業者目線で見ると、院内へのハードウェア設置がなくな りエンジニアの訪問対応も不要となるため、維持コストは低減されます。医療情 報システム全体への投資が求められるいま、電子カルテ単体のコストを抑えつつ 最新のOSやシステムを制限なく採用できるクラウドネイティブ電子カルテは有力 な選択肢であると考えています。 33 クラウドネイティブ電子カルテという選択肢

34. Copyright © Henry, Inc. All rights reserved. 弊社noteではサイバーセキュリティ対策について継続的に情報を発信しておりま す。あわせてご覧いただけますと幸いです。 ご清聴ありがとうございました

    https://note.com/henry_app 34

35. Copyright © Henry, Inc. All rights reserved. 補足資料 35

36. Copyright © Henry, Inc. All rights reserved. 岡山県精神科医療センター様事例の報告書では、OS標準のWindows Defenderで 充分との言及があります。導入する強い理由がなければ、OS標準機能が正常に動

    作する環境の構築を優先してもよいでしょう。 マルウェア対策にしろEDRにしろMDMにしろ、どのような機能を持っているかだ けでなく、どのように運用するかが鍵になります。使いこなす体制が構築できな いうちは「足を靴に合わせる」ことを意識し、OSや代表的なシステムの標準機能 でできる範囲で充分な対策とするために運用を見直しても良いと思われます。 36 マルウェア対策ソフトウェアは必要か

37. Copyright © Henry, Inc. All rights reserved. 対策が多数打てる状況でサイバー保険を検討するのは順序が違うかもしれませ ん。また保険では金銭的な被害は一部補填できても、患者様からの信頼を補填す ることはできない点にも注意は必要です。

    一方で対策を済ませた医療機関様では、インシデント発生時に打てる手が増える 可能性もあるため、前向きに検討しても良いかもしれません。 37 サイバー保険はどうか？

38. Copyright © Henry, Inc. All rights reserved. 個人端末の業務利用（Bring Your Own

    Device）は現状、認証に利用する程度に 留まると考えています。つまり認証の「持ちうる要素」として活用することはで きても、ガイドラインの要求を満たしながら医療情報システムの一部として利用 することは難しいと思われます。 38 職員の個人端末はどこまで利用できるか

39. Copyright © Henry, Inc. All rights reserved. 1. ゼロトラストの導入 a.

    認証認可の徹底（共用端末） b. ゲストアクセスの廃止（ファイル連携、ソケット連携など） c. 通信の暗号化（ファイル連携、ソケット連携など） 2. 多層防御の強化 a. ネットワークのセグメント分割（大阪事例報告書や半田病院様現状報告[a]など参考） b. 閉域網の縮小化[b] 3. 契約やガイドラインの再確認 a. ガイドラインに記載の暗号化やVPNの要請を満たせているか b. 経済産業省「医療情報システムの契約における当事者間の役割分担等に関する確認表」や JAHIS標準「リモートサービス セキュリティガイドライン」も事業者との交渉に便利 4. 策定したBCPに基づく訓練の定期的な実施 39 チェックリストでは不足している方へのご提案 [a] https://cloud.watch.impress.co.jp/docs/news/2022575.html [b] https://note.com/henry_app/n/n44dd67952aa1

40. Copyright © Henry, Inc. All rights reserved. 2020年10月、東証の当時のCIOがシステム障害について説明をした際の対応[c] がインシデント発生時の経営の対応としてはひとつの完成形であると考えます。 CIOの発言には基本的だが今でも実践が難しい概念が多く含まれています。

    • 機械は壊れるという前提でシステムを運用し備えている • 事業者のせいにせず、導入の段階から主体的に関わっている • 対外的に自分の言葉でわかりやすく状況と計画を説明している 現時点では参考にできる医療情報安全管理責任者のロールモデルが少ないため、 こうして他業界のCIOやCISOについて参考にされるのも良いかもしれません。 40 医療情報安全管理責任者にとって完成された目標としての東証の事例 [c] https://cto-a.org/news/20201005

41. Copyright © Henry, Inc. All rights reserved. 弊社サービスをご利用の医療機関様では医師の宿直免除[d]や在宅でのリモート ワーク[e]、厚生局調査対応の工数削減[f]といった事例がございます。 電子化や国のシステムの対応には労働人口減少をはじめとした「守り」の側面も

    ございますが、労働の柔軟性や負荷低減による優秀な人材へのアピールや定型 業務の削減による本質的な問い（ケアの質向上など）への工数活用といった 「攻め」の側面も見出すこともできます。 医療情報の電子化が当たり前になる2030年において、医療機関としてどのような 強みを発揮するかを考えたときに、電子化は避けられないのではないでしょう か。 41 [d] https://lp.henry-app.jp/column/20250530_report [e] https://note.com/henry_app/n/nd5e01a091f08 [f] https://note.com/henry_app/n/n0475460d0517 こんなにサイバーセキュリティって大変なのに、電子化やる意味はあるのか