上記のようなことでお悩みの医療従事者の方へ!
この記事で紹介する『サイバー攻撃が引き起こす電子カルテのリスクと対策7選』を読むと、誰でもサイバー攻撃に対する心構えが身につきます。
さらに「対策」に記載していることを実践すれば、サイバー攻撃に対するリスクを軽減することができるでしょう。
僕は医療機関でシステム部門長を担当しており、サイバー攻撃に関するセキュリティ対策の責任者も兼任しています。
この記事では、実際に僕が実践しているサイバー攻撃に対する対策を7つ紹介します。
記事を読み終えると、サイバー攻撃に関する理解とその心構えが身につくので、今までのような不安はなくなります。
システム管理者だけでなく、医療従事者の方であれば誰でも役に立つ内容となっているので、参考になればうれしいです!
管理人のプロフィール
✅ 院内SEとして10年以上勤務(前職は東証一部IT企業のSEを8年間)
✅ ブログ運営中(院内SEのお役立ち情報や副業・投資に関する情報を発信)
✅ WebライターやFXなど様々な副業にチャレンジ中(初月で約5万円を獲得)
目次
1:サイバー攻撃とは
「サイバー攻撃」とはネットワークを通じてパソコンやサーバに侵入し、重要なデータを盗んだり、システムを壊したりする行為のことです。
医療機関の場合、管理しているデータの大部分が患者の個人情報に該当します。
そのため、サイバー攻撃によりデータを改ざんされたり、外部に漏れるようなことがあれば一大事ですよね?
その結果、患者の信頼を失い、最悪のケースだと医療機関の事業を継続できなくなってしまうかもしれません・・・。
近年ではさまざまな手口のサイバー攻撃が確認されています。次でサイバー攻撃の種類について解説していきます!
2:サイバー攻撃の種類
サイバー攻撃は多岐にわたります。ここでは現状で確認されているサイバー攻撃の種類に付いて解説します。
2-1:サイバー攻撃の種類3点
代表的なサイバー攻撃を3つ紹介します。
サイバー攻撃その1:マルウェア
悪意のあるソフトウェアの総称です。(代表的なものではウイルスやワーム、トロイの木馬、スパイウェアなど)
マルウェアに感染した場合、コンピュータ内のデータが削除や改ざんされてしまう他、外部に流出する等の被害をもたらします。
よくあるケースは銀行口座やクレジットカードの情報を悪用され、金銭的な被害を受けることが挙げられます。
マルウェアはOSやネットワークの脆弱性を突くことで攻撃をしかけてくるので、常に最新状態を保つことが対策と言えるでしょう。
サイバー攻撃その2:Emotet(エモテット)
2019年11月に国内で発生したことにより知名度が一気に上昇したのがEmotet(エモテット)です。
Emotetのやっかい点は、正規のメールであるかのようになりすまして感染を試みるところです。
よくある手口は実在する人物の氏名やメールアドレスを流用し、あたかもその相手からメールが届いたかのように見せてきます。
そしてメールに添付された不正なファイルを開かせることで感染させ、医療機関内に拡大していくという事態に陥れます。
OSやセキュリティソフトを常に最新状態に保ち、たとえ返信メールでも見に覚えのない内容であれば不用意に開かないなど、注意が必要です。
サイバー攻撃その3:標的型攻撃
標的型攻撃とは特定の企業などをターゲットとして、重要なシステムにマルウェアを感染させるサイバー攻撃です。
感染させることで機密情報などを窃取することを目的としています。
中でも多いのは、件名や送信元を偽装したメールを送付し、添付ファイルやURL等からマルウェアに感染させる手口です。
巧妙に作り込まれているため、完全に防ぎ切ることが困難であるのが現状です・・・。
それでも被害を最小限に抑えるために、セキュリティソフトの導入やログ監視を日常的に徹底しておく必要があると言えるでしょう。
2-2:ランサムウェアとは
近年で最も被害が大きいのがランサムウェアです。
2017年に世界中で注目の的となった「WannaCry」を一度は耳にしたことがあるのではないでしょうか?
アップデートされていない古いコンピュータの脆弱性を突くことで、感染が拡大されたと言われています。
ランサムウェアは「身代金要求型不正プログラム」と呼ばれるコンピュータウイルスの一種です。
コンピュータ内に侵入し、機能をロックしたり、データを暗号化することで解除することと引き換えに身代金を要求する仕組みとなっています。
例えば「身代金の要求に応じなければインターネット上にデータを公開する」などと脅迫する、もしくは人為的にランサムウェアウイルスを中枢のサーバに感染させて、その配下の機器や端末を感染させるのが主な手口です。
最近では特に、VPN(Virtual Private Network)やRDP(Remote Desktop Protocol)などの脆弱性を突いて医療機関内に侵入するケースが増えているようですね。
ではランサムウェアを含むサイバー攻撃に感染した場合、どんなリスクが負うことになるのでしょうか?次で詳しく解説します!
3:サイバー攻撃によるリスク4点
サイバー攻撃のリスクとして下記の4点です。
✔ 損害賠償責任リスク
✔ 情報漏洩リスク
✔ 事業中断リスク
✔ 危機管理対応リスク
サイバー攻撃により、患者の個人情報が外部に漏れるようなことがあれば患者の信頼を失うことになりかねません。
場合によっては、患者から損害賠償請求を受ける可能性も出てきます。
さらに患者の信頼を失うことで、医療機関の事業自体も中断せざる得ない状況になるかもしれません。
それだけサイバー攻撃による影響が大きいと考えて間違いないでしょう。
また、もしサイバー攻撃を受けてしまった場合でも、その被害を最小限に抑えるよう危機管理対応も必要になります。
サイバー攻撃を100%防ぐことは不可能とも言われています。
そのため、予め攻撃を受けることを前提とし、普段からこの4つのリスクに備えておくことも重要と言えるのかもしれませんね。
4:電子カルテが標的にされたサイバー攻撃の事例
ここでは実際に医療機関で起きたサイバー攻撃の事例を紹介します。
| 時期 | 対象の医療機関 | 内容 |
| 不明 |
金沢県 (大学付属病院) |
個別に導入したシステムからマルウェア感染が拡大 レスポンス遅延や動作が不安定になる等の診療業務に影響 原因はUSBメモリ経由でのウイルス侵入 |
| 2018年10月 |
奈良県 (市立病院) |
ランサムウェアにより電子カルテが使用不可になる サーバを停止させ、復旧までは紙カルテで運用 原因は私物のパソコンやネットワーク機器の接続によるもの |
| 2019年5月 |
東京都 (医療センター) |
職員端末に不正アクセス 情報流出の可能性がある為、関係者及び東京都保険医療公社に連絡(被害は当該職員端末のメールボックス内の一部のみ) 原因はメールの添付ファイルを開いたことによるマルウェア感染
|
| 2020年12月 |
福島県 (大学付属病院) |
検査機器の不具合が複数の部署で発生 放射線室でCT胸部の撮影中に管理端末が再起動され、画像を保存できないなどの事象が発生 医療情報システムはインターネット接続されていない為、原因は私用端末など外部の機器経由で感染したと思われる |
| 2021年10月 |
徳島県 (町立病院) |
ランサムウェアにより電子カルテを始めとした院内システムが使用不可 個人情報の漏えいなどは確認されておらず 原因はVPNの脆弱性を突かれたこと(アップデート等が行われていなかった) |
【引用元:日本医師会】
5:電子カルテに対するサイバー攻撃の対策7選
何度も繰り返すようですが、どんなに強固なシステムで守られていてもサイバー攻撃を100%防ぐのは難しいかもしれません。
ですが、何もしなければ被害にあう可能性もそれだけ高くなってしまいます。
ここでサイバー攻撃を受ける可能性をできる限り軽減するための対策を7つ紹介します。
現在対策を検討中の方も、これから対策を検討する方もぜひ参考にしてください!
対策1:ルータの整備と強化
1つ目の対策は『ルータの整備と強化』です。
ルータは医療機関と外部(インターネット)との中継地点になる為、常に注意を払う必要があります。
特にVPN・RDP用にポートを公開している場合は、脆弱性を突かれる可能性があります。
ルータの脆弱性に関する情報を日頃から収集しておき、必要であれば早めにアップデートや修正パッチを適用することを強くおすすめします。
対策2:機器やソフトのアップデートの徹底
2つ目の対策は『機器やソフトのアップデートを徹底』することです。
厄介なことにサイバー攻撃の手口は日々進化しています。
最新のサイバー攻撃に対抗するためにも、医療機関側も常にアップデートしていく必要があります。
OSやセキュリティソフトなど、古いバージョンのままだと対抗できない場合があるのでいつも最新状態を保つようにしましょう。
Windows7よりもWindows10、Windows10よりもWindows11です!
対策3:ネットワーク業者によるサポート体制の強化
3つ目の対策は『ネットワーク業者によるサポート体制を強化する』ことです。
医療機関のネットワークはシステム管理者が管理されているケースが多いと思います。
ですが、システム管理者も電子カルテの保守業務や機器のトラブルシューティングなど、他にもさまざまなタスクを抱えているはずです。
システム管理者がネットワークに時間を割けない場合は、ネットワークの専門業者にサポートしてもらうことをおすすめします。
サポート保守契約を締結することで、業者がネットワークを全面的に管理してくれるようになります。
前述にあるような脆弱性の情報収集やソフトのアップデートもベンダーに一任できる為、システム管理者はそれ以外の業務に注力するメリットもあります。
多少のランニングコストは必要かと思いますが、やはり餅は餅屋に任せるべきかと!
対策4:BCP(事業継続計画)の策定
4つ目の対策は『BCP(事業継続計画)の策定』です。
サイバー攻撃を受けた場合、一番怖いのは医療機関の事業を継続できなくなることです。
仮に一時的に診療が停止したとしても、復旧が早ければ早いほど挽回することはそう難しいことではありません。
万が一、サイバー攻撃を受けた場合でも早急に元の状態に戻れるよう「システムの復旧手順」や「紙カルテへの切り換え」を取り決めておくことが重要です。
仮にサイバー攻撃を受けなかったとしても、災害などの有事の際にも役に立つのでおすすめします!
対策5:バックアップ環境の整備
5つ目の対策は『バックアップ環境の整備』です。
サイバー攻撃を受けた状態から回復する手段として最もオーソドックスなのがバックアップからの復旧です。
どの医療機関もバックアップ環境は構築していると思いますが、できればオンラインだけでなく、オフラインとの両建てをおすすめします。
なぜなら、もしバックアップがオンライン環境だけの場合、サイバー攻撃によりネットワークが感染してしまうとその環境が使えなくなる可能性があるからです。
ですが、もしオフライン環境にもバックアップデータを取得している場合、ネットワークの状況に限らず、安全に復旧作業ができますよね。
NASやテープ媒体など、オフライン環境のバックアップも検討されてはいかがでしょうか?
対策6:スタッフの教育(セキュリティリテラシーの向上)
6つ目の対策は『スタッフの教育』、つまり医療機関内の『セキュリティリテラシーの向上』です。
システム管理者や一部の関係者だけがサイバー攻撃のことを理解していてもあまり意味がありません。
医師や看護師、検査技師、事務系など医療機関内のスタッフ全員に、サイバー攻撃に対する意識付けをする必要があります。
たとえシステム管理者がスーパーマンでも、他のスタッフが見知らぬメールの添付ファイルを開いたり、USBメモリをウイルススキャンをせずに使用したりすれば簡単に感染してしまいますよね?
スタッフ全員で危機感を持ち、スタッフ全員で禁止事項を把握しておき、日頃から徹底することを重要です。
対策7:サイバー攻撃を受けたことを想定した訓練
7つ目の対策は『サイバー攻撃を受けたことを想定した訓練』を実施することです。
ここまではサイバー攻撃に対する机上の対策がほとんどでしたが、いざ有事の際に実践できなければ意味がないですよね?
予めサイバー攻撃を受けたことを想定して、シミュレーションをしておくことをおすすめします。
始めは部門毎に実践してOKです。
徐々に規模を拡大して、最終的には医療機関全体で本番さながらのリハーサルをしましょう。
「備えあれば憂いなし」ですよ!
6:電子カルテがサイバー攻撃を受けた時の対処法4選
しつこいようですが、すべての対策を完ぺきにできたとしても、サイバー攻撃を100%回避できるとは言い切れません。
ここではサイバー攻撃を受けた時にすぐにやるべき4つの対処法を紹介します!
もしサイバー攻撃を受けた場合でも、被害をどれだけ抑えられるかで復旧までの時間や日数は変わってきます。
この4つの対処法を実践することで復旧までの時間や日数を短縮できるので、理解しておいてくださいね!
対処法1:何よりもまずネットワークを切るべし
もしサイバー攻撃を受けた場合、まずはその被害を拡大させないために重要なのは『ネットワークを遮断する』ことです。
マルウェアにしてもウイルスにしても、ネットワークを通じて感染を広げていくケースが大多数です。
感染が発覚したら、ネットワーク・Wifi等をまず遮断してください。
そして感染元の端末やサーバ等と通信できない状態にすることで、被害の範囲を最小限にとどめましょう!
対処法2:感染状況を確認するべし
対処法1を実施したら次にするのは『現在の感染状況を確認する』ことです。
具体的には以下のようなチェックをします。
- 感染元の確認(例:端末、サーバ 等)
- 感染経路の確認(例:ネットワーク、メール 等)
- 感染した機器の確認(例:サーバ◯台、端末◯◯台 等)
- 感染していない機器の確認(例:サーバ◯台、端末◯◯台 等)
感染した機器を把握するのはもちろんですが、復旧作業の手段として使用する為、感染していない機器も把握しておくようにしましょう!
対処法3:対応方針を決めるべし
ここまで確認できればあとは復旧に向けてひたすら進めるだけです。
その前に『対応方針を決める』ことが必須と言えるでしょう。
病院長や事業計画責任者、システム管理者、各部門長などが結集して復旧までのプロセスを考える必要があります。
具体的には下記のような点です。
✔ 復旧の目標時期(例:〇ヶ月後 等)
✔ 復旧作業の明確化(例:バックアップデータからの復旧、専門業者による復旧 等)
✔ 復旧作業の担当部署(例:情報システム管理部門、事業計画責任者 等)
✔ 復旧までの運用の代替手段(例:紙カルテの運用 等)
ここで確認漏れがあると復旧に支障が出てしまいます。
焦らずにひとつひとつクリアにしていきましょう!
対処法4:復旧作業を実行するべし
最後は『復旧作業を実行』するのみです。
通常の診療業務と並行して復旧作業を進めることになるので、大掛かりになることは間違いないでしょう。
ですが、対処法の1,2,3を着実に実行していれば、いくらかその負担は軽減できるはず。
ここまでくればあとは事前に取り決めたことをやるだけです。
復旧するまでは気を抜かず、確実に対処していきましょう!
7:電子カルテに対するサイバー攻撃に備えた保険
サイバー攻撃を受ける可能性が0ではないとして、もし被害が出た場合には多額の費用が必要になりますよね?
原因調査にかかった費用や利益損害など、考えられるだけでもかなりの金額が想定されます・・・。
そのような場合に、発生する費用を補填してくれるサイバー保険も近年ではリリースされてます。
可能性が0でないとしたら、万が一、発生した場合の被害を最小限に抑えるようにするというのも一つの対策と言えるでしょう。
8:電子カルテに対するサイバー攻撃の再発防止策
もしサイバー攻撃を受けた場合、2回目がないとは言い切れません。
同じ轍を踏まないためにも、再発防止策として普段から実践しておくべき3つの方法を紹介します!
再発防止策1:パスワードは使い回さない
電子カルテ端末や各サーバでは同じパスワードを使用しないよう注意してください。
パスワードの使い回しは、サイバー攻撃の感染拡大を容易にしてしまいます。
端末やサーバ毎、もしくはスタッフ毎にパスワードは別々のものを設定するようにしましょう!
再発防止策2:私物のパソコンや機器は使用しない
私物のパソコンや機器から感染してしまうのも原因としてよくあるパターンです。
私物のためシステム管理者ですれば目が行き届いていない可能性がありますよね?
知らぬ間に持ち込んで知らぬ間にネットワークに接続して感染してしまう・・・。
全てのスタッフの行動を監視するのは難しいので、私物は持ち込まないように周知しておくことを強くおすすめします。
再発防止策3:差出人不明のメールやファイルを開かない
マルウェア感染の典型的な事例ですね。
見知らぬメールや添付されたファイルから感染してしまうことも非常に多いです。
こちらもスタッフに教育・周知することが重要ですが、「マクロを無効化する」や「セキュリティソフトを定期的にアップデートする」など端末単位で出来る対策もあります。
再発防止に備えて実行するようにしましょう!
9:まとめ
ここまで『サイバー攻撃が引き起こす電子カルテのリスクと対策7選』を紹介してきました。
最後におさらいをしておきましょう!
1:サイバー攻撃とは
→組織内の重要なデータを盗んだり、システムを壊したりする行為のこと
→ネットワークを経由してパソコンやサーバに侵入する
2:サイバー攻撃の種類
2-1:サイバー攻撃の種類3点
サイバー攻撃その1:マルウェア
→悪意のあるソフトウェアの総称
→データが削除や改ざん、外部への流出などの被害をもたらす
サイバー攻撃その2:Emotet(エモテット)
→正規のメールになりすまして送信されるマルウェアの一種
→添付されたファイルやURLから内部へ侵入して感染を拡大する
サイバー攻撃その3:標的型攻撃
→特定の企業等をターゲットにしてシステムにマルウェアを感染させる
2-2:ランサムウェアとは
→「身代金要求型不正プログラム」と呼ばれるコンピュータウイルス
→データのロックや暗号化を行い、解除と引き換えに金銭を要求する
3:サイバー攻撃によるリスク4点
→損害賠償責任リスク、情報漏洩リスク、事業中断リスク、危機管理対応リスク
4:電子カルテが標的にされたサイバー攻撃の事例
→記事内の一覧を参照
5:電子カルテに対するサイバー攻撃の対策7選
対策1:ルータの整備と強化
対策2:機器やソフトのアップデートの徹底
対策3:ネットワーク業者によるサポート体制の強化
対策4:BCP(事業継続計画)の策定
対策5:バックアップ環境の整備
対策6:スタッフの教育(セキュリティリテラシーの向上)
対策7:サイバー攻撃を受けたことを想定した訓練
6:電子カルテがサイバー攻撃を受けた時の対処法4選
対処法1:何よりもまずネットワークを切るべし
対処法2:感染状況を確認するべし
対処法3:対応方針を決めるべし
対処法4:復旧作業を実行するべし
7:電子カルテに対するサイバー攻撃に備えた保険
→サイバー攻撃により発生した費用を補填してくれる
→原因調査にかかる費用、利益損害など
8:電子カルテに対するサイバー攻撃の再発防止策
再発防止策1:パスワードは使い回さない
再発防止策2:私物のパソコンや機器は使用しない
再発防止策3:差出人不明のメールやファイルを開かない
昨今のサイバー攻撃は脅威です。
ランサムウェアやEmotetなどの事例からも分かるようにシステムや機器、セキュリティリテラシーの隙を突いて侵入してきます。
日常的に個人情報を扱っている医療機関にとっては、警戒すべき最需要事項といっても過言ではないでしょう。
前述にある「対策」や「再発防止策」を実践し、もし被害にあった場合でもそのリスクを最小限に抑えられるように備えておきましょう。
「サイバー攻撃について検討したい」と思い始めたらこの記事を見返してみてくださいね!
この記事が見てくれる人達の参考になればうれしいです😄
