医療・金融機関向け高度セキュリティ対策

コラム

医療機関や金融機関は、社会インフラとして極めて高いセキュリティレベルが要求されます。2024年の医療機関へのランサムウェア攻撃では2ヶ月間の診療停止、金融機関への攻撃では数億円の被害が発生しました。本記事では、3省2ガイドライン、FISC安全対策基準などの規制要件から、24時間365日のSOC運用、インサイダー脅威対策まで、重要インフラに必要な高度なセキュリティ対策を解説します。

重要インフラとしての位置づけ

医療機関と金融機関は、国民生活に不可欠な重要インフラとして、他の業界とは異なる次元のセキュリティが要求されます。サイバー攻撃による機能停止は、人命や経済活動に直接的な影響を与えるためです。

社会的責任と要求水準

医療・金融が狙われる理由

医療機関が標的となる理由

医療機関は攻撃者にとって「理想的な標的」です。その理由は3つあります。

第一に人命への直接的影響です。診療システムの停止は患者の生命に直結し、医療機器の誤動作や薬剤情報の改ざんは取り返しのつかない結果を招きます。これにより、ランサムウェアの身代金要求に応じやすくなります。

第二に高価値データの宝庫であることです。医療情報は一度漏洩すれば変更できない永続的価値を持ち、闇市場では1件あたり数千円で取引されます。保険情報や研究データも含まれ、個人情報漏洩の影響は甚大です。

第三にセキュリティの脆弱性です。20年以上前のレガシーシステムが現役で稼働し、医療機器のIoT化により攻撃対象が拡大、さらにIT投資の優先順位が低いという構造的問題を抱えています。

金融機関が標的となる理由

金融機関への攻撃は、即座に金銭的利益につながります。

直接的な金銭被害として、不正送金や口座情報の窃取により、瞬時に数億円が奪われるリスクがあります。決済システムが停止すれば、1時間あたり数十億円の経済損失が発生します。

信用失墜リスクも深刻です。セキュリティインシデントにより顧客が離れ、株価が下落し、金融庁から業務改善命令などの規制処分を受ける可能性があります。

最も懸念されるのはシステミックリスクです。一つの金融機関の障害が金融システム全体に波及し、連鎖的な混乱や倒産を引き起こす可能性があります。

求められる可用性

業界 目標RTO 目標RPO 可用性 年間許容ダウンタイム
医療(救急) 0分 0分 99.999% 5.26分
医療(一般) 4時間 1時間 99.95% 4.38時間
金融(決済) 0分 0分 99.999% 5.26分
金融(銀行) 2時間 15分 99.99% 52.56分

規制要件の詳細

医療分野の規制

医療分野では「3省2ガイドライン」への準拠が必須となります。

3省2ガイドライン詳細

厚生労働省ガイドライン(第6.0版)が中核となり、以下の4つの安全管理措置を要求します:

組織的安全管理措置
医療情報システム安全管理責任者を設置し、100項目以上の運用管理規程を策定。年2回以上の定期監査を実施します。
物理的安全管理措置
サーバー室は耐震・耐火・防水構造とし、生体認証による入退室管理、24時間監視カメラ録画を必須とします。
技術的安全管理措置
職種別のアクセス制御、10年間のログ保存、AES256以上での暗号化を実装します。
人的安全管理措置
全職員との守秘義務契約、年6時間以上の教育訓練、退職時のアクセス権即時削除を徹底します。

経済産業省ガイドラインは医療情報受託業者向けで、可用性99.9%以上のSLA要件と第三者認証取得を推奨します。

総務省ガイドラインはASP・SaaS事業者向けで、データセンター要件と通信セキュリティを規定します。

オンライン診療のセキュリティ要件

コロナ禍以降急速に普及したオンライン診療には、特別なセキュリティ要件があります:

本人確認の徹底

  • 患者:eKYC(電子的本人確認)による厳格な認証
  • 医師:医師資格確認と医療機関所属の検証
  • 両者とも多要素認証を必須化

通信の保護

  • End-to-End暗号化による盗聴防止
  • 録画・録音データの適切な管理
  • 第三者の不正アクセス防止

プラットフォーム要件

  • ISO27001認証取得
  • 医療情報安全管理ガイドライン準拠
  • 24時間365日のサポート体制

金融分野の規制

金融機関はFISC安全対策基準(第9版追補4)への準拠が求められます。

FISC安全対策基準の3本柱

設備基準では、物理的な安全性を確保します:

  • 建物:震度7対応、2時間耐火、浸水対策
  • 電源:UPS(無停電電源装置)、72時間稼働の自家発電、二系統受電
  • 空調:N+1冗長構成、24時間365日運転

技術基準では、システムのセキュリティを強化します:

  • 本人確認:多要素認証、生体認証推奨、リスクベース認証
  • 暗号化:伝送路はTLS1.3、保存データはAES256、鍵管理はHSM(Hardware Security Module)
  • アクセス制御:最小権限の原則、職務分離、監査証跡

運用基準では、人的・組織的対策を定めます:

  • 要員配置:24時間365日体制、複数名体制、明確なスキル要件
  • 訓練実施:BCP訓練年2回、セキュリティ訓練年4回、ペネトレーションテスト年1回
  • 外部委託管理:SLA締結、定期監査、インシデント時の連携

金融庁検査への対応

検査項目 要求事項 必要な証跡 更新頻度
システムリスク管理 FISC準拠 監査報告書 年次
サイバーセキュリティ TLPT実施 演習結果報告 2年毎
事業継続管理 RTO/RPO達成 訓練記録 半期
外部委託管理 SLA遵守 月次報告書 月次

高度な技術的対策

ゼロトラストセキュリティの実装

従来の境界防御から「Never Trust, Always Verify」への転換が必要です。

医療機関でのゼロトラスト

医療機関では、患者情報へのアクセスを動的に制御する必要があります。

コンテキストベースのアクセス制御により、以下の要素を総合的に評価します:

  • ユーザー要素:職種(医師/看護師/事務)、所属診療科、資格、最終研修日
  • デバイス要素:管理状態、コンプライアンス、場所、ネットワーク種別
  • リソース要素:情報の機密性、患者ID、データ種別(カルテ/検査/処方)
  • 時間要素:アクセス時刻、勤務シフト、緊急事態フラグ

Need-to-Know原則の徹底では、担当患者のみアクセス可能とし、他診療科の患者情報は診療依頼がある場合のみ許可。緊急時アクセスは全ログを記録し事後監査を実施します。

金融機関でのゼロトラスト

金融取引では、リアルタイムのリスク評価が重要です。

取引リスクの動的評価

  • 通常取引パターンとの乖離度
  • 送金先の危険度評価
  • デバイスの信頼性スコア
  • 地理的異常の検知

高リスク取引には追加認証を要求し、異常なパターンは自動的にブロックします。

EDR/XDRの活用

エンドポイントとネットワーク全体の統合的な監視が必要です。

医療機器の保護戦略

医療機器をリスクレベルで分類し、適切な保護を実施します:

カテゴリ 機器例 保護レベル 監視方式
生命維持装置 人工呼吸器、人工心肺、透析装置 最大 リアルタイム
診断装置 CT、MRI、エコー 準リアルタイム
情報系 電子カルテ端末、PACS 標準 定期監視

生命維持装置への不正アクセスは即座に遮断し、ファームウェアの改変は検知次第アラートを発報します。

金融取引の異常検知

取引の統計的分析により、異常を早期発見します:

  • 過去30日の平均取引額からの乖離
  • 標準偏差の3倍を超える取引は高リスク
  • 深夜の高額送金は要注意
  • 新規口座への大口送金は追加確認

SOC/CSIRT運用

24時間365日体制の構築

重要インフラでは、休みなき監視体制が必要です。

医療SOCの要員配置

日勤帯(8:00-20:00)

  • SOCマネージャー:1名(全体統括)
  • L3アナリスト:2名(高度分析、インシデント対応)
  • L2アナリスト:3名(詳細分析、エスカレーション判断)
  • L1オペレーター:4名(初期対応、ログ監視)

夜勤帯(20:00-8:00)

  • L3アナリスト:1名(緊急対応責任者)
  • L2アナリスト:2名(分析・対応)
  • L1オペレーター:2名(監視)

必要スキル

  • L3:GCIH、GNFA、医療情報技師の資格保有
  • L2:GCFA、Security+、基本情報技術者
  • L1:ITパスポート、OJT修了

エスカレーションフロー

インシデントの重要度により、対応時間を明確に定義:

  • Critical:即時対応、システム管理者・CSIRT召集、経営層報告
  • High:15分以内対応、担当部門通知、対策実施
  • Medium:1時間以内対応、調査開始
  • Low:翌営業日対応、ログ保存

医療機関では人命に関わるシステムを最優先し、金融機関では決済システムを最優先とします。

インシデント対応訓練

机上訓練だけでなく、実践的な訓練が重要です。

医療機関向けシナリオ例

ランサムウェア感染訓練

評価項目と目標値:

  • 初動対応:15分以内に対策本部設置
  • 紙運用切替:30分以内に紙カルテ運用開始
  • 患者影響:診療継続率90%以上維持
  • 関係機関連絡:1時間以内に完了
  • システム復旧:24時間以内に主要機能回復

金融機関向けシナリオ例

DDoS攻撃対応訓練

評価項目と目標値:

  • 攻撃検知:5分以内
  • 防御措置:10分以内に実施
  • 可用性維持:99.9%以上
  • 代替手段:15分以内に顧客案内
  • 当局報告:2時間以内に金融庁報告

BCP/DR対策

医療BCPの特殊性

医療機関のBCPは、診療の継続性を最優先に設計します。

診療継続の優先順位

フェーズ 期間 対応内容 優先度 代替手段
超急性期 0-6時間 救命救急 最高 紙カルテ運用
急性期 6-72時間 入院診療 限定システム
亜急性期 3-7日 外来再開 予約制限
慢性期 1週間以降 通常診療 段階的復旧

紙カルテ運用への切り替え訓練を定期的に実施し、職員全員が対応できるようにします。

金融BCPの要件

金融機関では、決済システムの継続性が社会的責務です。

データセンターの冗長構成

3拠点構成により、災害時も継続運用を実現:

  • プライマリDC(東京):通常運用
  • セカンダリDC(大阪):リアルタイム同期
  • DR-DC(福岡):災害時復旧用

フェイルオーバー手順:

  1. 現在の取引を安全に停止(データ整合性確保)
  2. データ同期状態の確認
  3. DNS切り替えによるトラフィック誘導
  4. サービス再開と監視強化

目標は2時間以内の完全復旧です。

サイバー演習

TLPT(脅威ベースペネトレーションテスト)

金融機関では、実際の攻撃者の手法を模擬した高度な演習が必要です。

実施プロセス

第1段階:脅威インテリジェンス

  • 業界を狙うAPTグループの分析
  • 最新の攻撃手法の研究
  • 自組織の弱点評価

第2段階:レッドチーム演習

第3段階:パープルチーム活動

  • 攻撃側と防御側の協働
  • リアルタイムでの改善実施
  • 知見の共有と文書化

評価基準

検知率
攻撃の何%を検知できたか(目標:90%以上)
対応時間
検知から封じ込めまでの時間(目標:1時間以内)
被害最小化
侵入を許した場合の被害範囲(目標:1システム以内)
復旧能力
正常状態への復帰時間(目標:24時間以内)

よくある質問(FAQ)

Q: 医療機器のセキュリティ更新で機器が停止するリスクはどう管理すべきですか?
A: リスクベースアプローチで管理します。生命維持装置は、(1)メーカーとの事前協議、(2)同型機での事前検証、(3)代替機器の準備、(4)医療スタッフ立会いでの実施、の4段階で慎重に更新。診断装置は休日や夜間に計画的実施。情報系端末は通常のパッチ管理プロセスで対応。重要なのは「更新しないリスク」と「更新するリスク」のバランスを取ることです。
Q: 3省2ガイドラインすべてに準拠する必要がありますか?
A: 立場により準拠すべきガイドラインが異なります。医療機関は厚生労働省ガイドラインが必須。医療情報を扱うシステムベンダーは経済産業省ガイドラインも必要。クラウドサービス事業者は総務省ガイドラインも対象。ただし、実質的には3つすべての要件を満たすことが、ビジネス上有利になります。
Q: FISC安全対策基準は法的義務ですか?
A: 法的義務ではありませんが、事実上の業界標準です。金融庁検査ではFISC準拠を前提に評価されるため、準拠していない場合は合理的な説明が必要。また、システム障害時の責任問題でも、FISC準拠は「相当の注意義務を果たした」証明になります。
Q: 24時間365日のSOC運用は中小医療機関でも必要ですか?
A: 自前での構築は現実的でないため、アウトソーシングや共同利用を推奨します。地域の医療機関で共同SOCを設立、MDRサービスの活用(月額20-50万円)、医師会や病院団体のSOCサービス利用など。最低限、夜間休日の緊急連絡体制と月次でのログレビューは必須です。
Q: インシデント発生時、どこまで情報公開すべきですか?
A: 透明性と慎重さのバランスが重要です。医療機関は個人情報保護委員会への報告(3日以内)と該当患者への通知が法的義務。金融機関は金融庁への報告と、必要に応じて顧客通知。公表のタイミングは、(1)二次被害防止の必要性、(2)事実関係の確認度、(3)対策の実施状況を考慮。過度の情報公開は攻撃者に利する場合もあるため、専門家と相談しながら判断してください。

まとめ:重要インフラ防護の要諦

医療・金融機関のセキュリティは、単なるIT対策を超えた社会的責任です。

成功のための5つの要点:

  1. 規制要件の完全準拠:3省2ガイドライン、FISC基準は最低ライン
  2. 24時間365日の監視体制:インシデントは営業時間を選ばない
  3. 定期的な演習と改善:訓練なくして実戦なし
  4. 経営層のコミットメント:セキュリティは経営課題
  5. 業界内での情報共有:一組織の教訓を業界全体の財産に

不正アクセスランサムウェアの脅威は日々進化しています。しかし、適切な対策と継続的な改善により、重要インフラとしての責務を果たすことは可能です。

人命と経済を預かる責任の重さを認識し、最高レベルのセキュリティを追求し続けることが、社会からの信頼に応える道です。

【重要なお知らせ】

  • 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
  • 規制要件は定期的に改訂されるため、最新版の確認が必要です
  • セキュリティ対策の実装は、各業界の専門家にご相談ください
  • 記載内容は2025年11月時点の情報です
不正アクセスとは|基本から対策まで完全ガイド2025年版

📚 基本を学ぶ

🛡️ 今すぐできる対策

🏢 企業・組織向け

⚙️ 高度な対策

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。