医療機関がサプライチェーン攻撃の標的になる理由
医療機関は、サプライチェーン攻撃の深刻な標的となっています。その理由は、患者データの価値、システム停止の影響、そして多数の外部接続点にあります。
- 患者データの価値
- 医療機関が保有する患者情報(診療記録、検査結果、保険情報、処方歴など)は、極めて機微性の高いデータです。これらの情報は、医療保険詐欺、処方薬の不正入手、なりすましなど様々な犯罪に悪用される可能性があり、闘市場での取引価格も高いとされています。
- 人命への影響
- 医療機関のシステムが停止した場合、診療業務に直接影響し、患者の生命に関わる事態につながる可能性があります。救急患者の受け入れ停止、手術の延期、投薬履歴の確認不能など、深刻な事態を招きかねません。この「止められない」という特性から、攻撃者はランサムウェアによる身代金の支払いを期待して医療機関を狙います。
- 多数の委託先との接続
- 医療機関は、電子カルテベンダー、医療機器メーカー、保守業者、検査委託先、医事会計システム、クラウドサービス事業者など、多数の外部組織と接続しています。特に、リモート保守のための接続は24時間稼働していることが多く、攻撃の侵入経路として悪用されやすい状況です。
- セキュリティ投資の制約
- 医療機関、特に中小規模の病院やクリニックでは、限られた予算の中でセキュリティ投資が後回しになりがちです。専任のIT担当者がいない施設も多く、セキュリティ体制が脆弱な状態にあります。
これらの要因から、医療機関はサプライチェーン攻撃への対策を最優先課題として取り組む必要があります。
医療機関のサプライチェーン攻撃事例
国内の医療機関で発生したサプライチェーン攻撃の代表的な事例を紹介します。
徳島県つるぎ町立半田病院(2021年)
半田病院は、2021年10月にランサムウェア「LockBit」に感染し、電子カルテシステムが使用不能となりました。
- 攻撃経路
- VPN装置の脆弱性を悪用して侵入されたと報告されています。取引先との接続に使用していたVPN装置のセキュリティアップデートが適用されておらず、攻撃者に侵入を許しました。
- 被害状況
- 約8万5千人分の電子カルテデータが暗号化され、診療業務が約2か月にわたって制限されました。一部の診療科では新規患者の受け入れを停止せざるを得ませんでした。
- 教訓
- 外部接続点(VPN装置)のセキュリティ管理の重要性、バックアップからの復旧計画の必要性が明らかになりました。
大阪急性期・総合医療センター(2022年)
大阪急性期・総合医療センターは、2022年10月にランサムウェア攻撃を受け、大規模な診療停止に陥りました。
- 攻撃経路
- 給食委託業者のシステムを経由して侵入されたと報告されています。委託先のセキュリティ対策の不備がサプライチェーン攻撃の起点となりました。
- 被害状況
- 電子カルテシステムが完全に使用不能となり、手術や外来診療の大幅な制限が約2か月続きました。紙カルテでの運用を余儀なくされ、医療スタッフの負担が大幅に増加しました。
- 教訓
- 委託先経由のサプライチェーン攻撃リスク、インシデント発生時の事業継続計画(BCP)の重要性が再認識されました。
これらの事例から、医療機関のサプライチェーン攻撃対策では、自院のセキュリティだけでなく、委託先を含めた包括的な対策が不可欠であることがわかります。詳しい事例分析はサプライチェーン攻撃の国内事例をご覧ください。
厚労省ガイドラインの要件
厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」は、医療機関のセキュリティ対策の基本となる文書です。外部委託やクラウド利用に関する重要な要件が含まれています。
外部委託に関する要件
ガイドラインでは、医療情報システムの運用管理を外部に委託する場合の要件を定めています。
| 要件項目 | 内容 |
|---|---|
| 委託先の選定 | 委託先の事業者が十分な安全管理措置を講じられる体制・能力を有しているか評価すること |
| 契約における明確化 | 安全管理措置の内容、秘密保持義務、委託終了時のデータ取扱い等を契約で明確化すること |
| 監督義務 | 委託先が契約どおりに安全管理措置を講じているか定期的に確認すること |
| 再委託の制限 | 再委託を行う場合は医療機関の許可を得ること、再委託先にも同等の安全管理を求めること |
クラウド利用に関する要件
医療情報をクラウドサービスで取り扱う場合の追加的な要件も定められています。
- クラウドサービス事業者の選定
- プライバシーマーク、ISMS認証、医療情報の取扱いに関する認証(3省2ガイドライン対応など)を確認し、適切な事業者を選定します。
- データの所在地
- 医療情報を保存するサーバーの所在地を確認し、国外にデータが保存される場合のリスクを評価します。
- 責任分界
- クラウド事業者と医療機関の責任分界を明確にし、インシデント発生時の対応手順を事前に取り決めます。
保守契約に関する要件
システム保守に関しては、特にリモート保守のセキュリティについて詳細な要件があります。
- リモート保守を行う場合は、接続方法、認証方式、アクセス権限を適切に管理すること
- 保守作業のログを取得し、不正な操作がないか確認すること
- 保守業者が医療情報にアクセスする範囲を必要最小限に限定すること
医療機関は、外部委託を行う場合であっても、医療情報の安全管理に関する最終的な責任を負います。委託先の選定から継続的な監督まで、適切な管理体制を構築してください。
— 出典:厚生労働省「医療情報システムの安全管理に関するガイドライン」の趣旨より
医療情報システムの委託管理
医療機関における委託先管理の実務について、主要な委託先ごとに解説します。
電子カルテベンダーの管理
電子カルテシステムは医療機関の中核システムであり、そのベンダーは最も重要な委託先です。
- ベンダー選定時の評価
- ベンダーのセキュリティ体制、過去のインシデント履歴、セキュリティ認証の取得状況、サポート体制を評価します。複数のベンダーを比較検討し、セキュリティ面も重視した選定を行ってください。
- 契約条項の整備
- セキュリティインシデント発生時の通知義務と対応手順、脆弱性が発見された場合のパッチ提供義務、監査権、秘密保持義務などを契約に含めます。
- 継続的なモニタリング
- 定期的にベンダーとのセキュリティレビューミーティングを実施し、セキュリティ対策状況の報告を受けます。
保守業者の管理
電子カルテや医療機器の保守業者は、リモートアクセス権限を持つことが多く、サプライチェーン攻撃の起点となりやすい存在です。
- リモート保守のリスク:24時間のリモートアクセスを許可している場合、その接続経路が攻撃者に悪用されるリスクがある
- アクセス管理:保守作業時のみ接続を許可する、多要素認証を導入する、保守作業のログを取得するなどの対策を実施
- 保守業者の選定:セキュリティ体制が十分な保守業者を選定し、必要に応じて監査を実施
クラウドサービスの利用
医療情報をクラウドで取り扱う場合は、「3省2ガイドライン」(厚労省ガイドライン、経産省・総務省の医療情報を取り扱うクラウドサービス事業者向けガイドライン)への対応を確認します。
| 確認項目 | 確認内容 |
|---|---|
| 認証・認定 | ISMS、Pマーク、3省2ガイドライン対応の認証取得状況 |
| データ所在地 | 国内にデータが保存されるか、国外の場合はその国の法制度 |
| アクセス制御 | クラウド事業者の従業員がデータにアクセスできる範囲 |
| 暗号化 | 保存時・転送時の暗号化方式と鍵管理 |
| 可用性 | SLA(サービスレベル合意)、障害時の対応体制 |
医療機器のサプライチェーンリスク
医療機関では、様々な医療機器がネットワークに接続されており、これらもサプライチェーン攻撃のリスクを抱えています。
IoT医療機器のリスク
人工呼吸器、輸液ポンプ、患者モニターなど、ネットワーク接続された医療機器は、攻撃者にとって新たな攻撃対象となっています。
- 脆弱性のリスク
- 医療機器は製品寿命が長く、古いOSや脆弱なソフトウェアが使われ続けていることがあります。セキュリティパッチの適用が困難な場合もあります。
- 生命への影響
- 一部の医療機器は患者の生命維持に直結しており、攻撃による誤動作は直接的な健康被害につながる可能性があります。
- ネットワーク分離の困難さ
- 電子カルテとの連携のため、医療機器をネットワークから完全に分離することが困難な場合があります。
リモート保守のリスク
多くの医療機器メーカーは、機器の保守・診断のためにリモートアクセス機能を提供しています。このリモート接続がサプライチェーン攻撃の侵入経路となるリスクがあります。
- メーカーのネットワークが侵害された場合、接続している医療機関にも被害が波及する可能性
- リモート接続に使用するVPNやリモートデスクトップの脆弱性が悪用されるリスク
- 接続のログ取得・監視が不十分な場合、侵入を検知できない可能性
ファームウェアアップデート
医療機器のファームウェアアップデートは、サプライチェーン攻撃の経路となりうる一方で、脆弱性対策としても重要です。
- アップデートの提供元の真正性を確認する仕組み(電子署名等)
- アップデート適用前のテスト環境での検証
- アップデート提供の継続性(製品のサポート期限の確認)
ランサムウェア対策
医療機関を狙うランサムウェア攻撃は増加しており、サプライチェーン経由での感染も報告されています。
バックアップの重要性
ランサムウェアに感染した場合、バックアップからの復旧が最も確実な対応策です。
- 3-2-1ルールの適用
- 重要なデータは3つのコピーを、2種類の異なるメディアに、1つは院外(オフサイト)に保管します。
- オフラインバックアップ
- ネットワークから切り離されたオフラインバックアップを保持することで、ランサムウェアによる暗号化から保護します。
- 復旧テスト
- 定期的にバックアップからの復旧テストを実施し、確実に復旧できることを確認します。
事業継続計画(BCP)
システムが使用不能になった場合でも診療を継続するためのBCPを策定しておくことが重要です。
| BCPの要素 | 内容 |
|---|---|
| 紙カルテへの移行手順 | 電子カルテが使用不能になった場合の紙カルテ運用手順 |
| 優先業務の特定 | 継続すべき診療業務の優先順位付け |
| 代替手段の確保 | 他院への転送、代替システムの確保 |
| 復旧手順 | システム復旧の手順と目標復旧時間(RTO) |
インシデント対応
ランサムウェア感染が疑われた場合の初動対応手順を事前に策定しておきます。
- 検知と初期対応:感染の兆候を検知したら、感染端末をネットワークから隔離
- 報告とエスカレーション:院内の責任者、ベンダー、必要に応じて警察に報告
- 影響範囲の特定:感染が拡大していないか、どのシステムが影響を受けたか確認
- 復旧:バックアップからの復旧、または身代金支払いの判断(支払いは推奨されません)
- 再発防止:侵入経路の特定と対策、委託先を含めたセキュリティ強化
詳しいランサムウェア対策についてはサプライチェーン攻撃とランサムウェアをご覧ください。
関連する攻撃手法
医療機関は、サプライチェーン攻撃以外にも様々な攻撃手法の標的となっています。
- サプライチェーン攻撃
- 委託先やベンダーを経由して医療機関に侵入する攻撃。給食業者経由の大阪急性期・総合医療センター事件が典型例です。詳細はサプライチェーン攻撃の定義と仕組みをご覧ください。
- ランサムウェア
- システムを暗号化し、身代金を要求する攻撃。医療機関は「止められない」ため標的にされやすいです。詳細はランサムウェアをご覧ください。
- フィッシング詐欺
- 偽のメールで認証情報を窃取する攻撃。医療従事者を狙ったフィッシングも報告されています。詳細はフィッシング詐欺をご覧ください。
- 不正アクセス
- VPNの脆弱性やリモート保守経路を悪用した不正アクセス。詳細は不正アクセスをご覧ください。
- 内部不正
- 従業員や委託先スタッフによる患者情報の不正持ち出し。詳細は内部不正をご覧ください。
- マルウェア感染
- USBメモリやメール添付ファイル経由でのマルウェア感染。詳細はマルウェア感染をご覧ください。
- 情報漏洩
- 患者情報の不正な流出や公開。詳細は情報漏洩をご覧ください。
よくある質問
- Q: 小規模クリニックでも対策は必要ですか?
- A: はい、規模に関わらず対策は必要です。小規模クリニックは予算やIT人材の制約がありますが、それゆえにセキュリティが脆弱になりがちで、攻撃者に狙われやすくなります。まずは、電子カルテベンダーのセキュリティ対策状況の確認、リモート保守のアクセス管理、バックアップの確保など、基本的な対策から始めてください。地域の医師会やIPAなどが提供する中小医療機関向けの支援策も活用できます。
- Q: 電子カルテのクラウド化は安全ですか?
- A: クラウド化にはメリットとリスクの両面があります。適切なクラウドサービス事業者を選定し、3省2ガイドラインに準拠した運用を行えば、オンプレミスよりも高いセキュリティレベルを確保できる場合もあります。一方で、クラウド事業者のセキュリティに依存することになるため、事業者の選定と継続的なモニタリングが重要です。また、インターネット接続による攻撃面の拡大にも注意が必要です。クラウド化の判断は、自院のリスク評価に基づいて行ってください。
- Q: 保守業者のリモートアクセスをどう管理すべきですか?
- A: リモート保守のアクセス管理は重要なセキュリティ対策です。まず、24時間常時接続ではなく、保守作業時のみ接続を許可する方式を検討してください。接続時は多要素認証を必須とし、アクセスログを取得して定期的に確認します。VPN装置のファームウェアは最新の状態を維持し、脆弱性情報を継続的に監視してください。複数の保守業者がある場合は、それぞれの接続経路を分離し、アクセス権限を最小限に制限します。
- Q: 医療機器のセキュリティは誰が責任を持ちますか?
- A: 医療機器のセキュリティは、製造業者(メーカー)と医療機関の双方に責任があります。メーカーは、設計段階からのセキュリティ確保、脆弱性が発見された場合のパッチ提供、セキュリティ情報の提供などの責任を負います。医療機関は、機器の適切な設定、ネットワークセグメンテーション、アップデートの適用、使用終了時の適切な廃棄などの責任を負います。購入時の契約で、セキュリティに関する責任分界を明確にしておくことが重要です。
まとめ
医療機関のサプライチェーン攻撃対策について、以下のポイントを押さえてください。
- 厚労省ガイドラインへの準拠:外部委託、クラウド利用、保守契約に関する要件を遵守する
- 委託先の選定・管理:電子カルテベンダー、保守業者、クラウドサービス事業者の選定基準を明確化し、継続的に監督する
- リモート保守のセキュリティ:常時接続を避け、多要素認証、アクセスログ取得を実施する
- 医療機器のセキュリティ:IoT医療機器、リモート保守、ファームウェアアップデートのリスクに対応する
- ランサムウェア対策:オフラインバックアップの確保、BCP策定、インシデント対応手順の整備
- BCPの策定:システム停止時でも診療を継続するための計画を事前に策定する
- 関連攻撃への備え:フィッシング、マルウェア、内部不正など複合的な対策を講じる
業種別カテゴリトップやサプライチェーン攻撃の総合ガイドも参照しながら、医療機関のセキュリティ体制を強化してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す ← 現在のカテゴリ
人気のページ
更新履歴
- 初稿公開
