ランサムウェアから電子カルテを守るために

近年、ランサムウェアによる企業のネットワーク攻撃が目立っているが、昨年、特に注目された病院への攻撃は、その機能を停止させ、近隣の住民にも多大な影響が出るため、その対策が急務となっている。大病院だけでなく、地方の小規模病院であっても、ネットワークの脆弱性をついた標的型攻撃の対象になっており、厚生労働省は新たな指針も提示する事態となった。
病院側は、このような事態に、どのように対応すればよいのだろうか。

ランサムウェアによる業務停止を余儀なくされた町の中核病院

2022年1月4日、昨年10月末にランサムウェアの攻撃にあった徳島県つるぎ町立病院の診療が再開された。攻撃にあってから、２か月間診察ができず、復旧には２憶円もの費用がかかったとされている。

2020年は、グローバルで活躍する大企業がランサムウェアの攻撃を受けた。ホンダ、キャノン、コニカミノルタなど報道されただけでも、数多くの大企業が狙われたことがうかがえる。しかし、2021年に入り、その手口は巧妙化しただけでなく、狙われる企業も多種多様になってきた。これは、大企業側が一早く対策を打ったことも関係しているであろう。

上記のつるぎ町立病院は、病床数が120床の中規模病院だ。しかし、この町では重要な中核病院だった。この病院ではVPNの脆弱性を突かれた攻撃を受け、電子カルテのデータ8万5千人分がバックアップも含めて利用できなくなってしまった。町の医療を支える病院が利用できないのは、近隣の住民には大きな問題となったであろう。

厚生労働省による情報セキュリティ指針更新

このような状況を受けて、厚生労働省は、今年度中に、医療機関向けに情報セキュリティ指針を新たに策定すると発表した。現在、厚労省が策定した「医療情報システムの安全管理に関するガイドライン」は昨年1月のものが最新であり、その内容は160ページに及ぶ。また、内容は、情報漏えいや個人情報の保護に焦点が向けられており、近年のランサムウェア対策には、各病院の情報セキュリティ担当者などの力量に頼らざるを得ないという内容となっている。

ガイドラインの中では、今回問題のあったVPNによる接続は、「クローズドなネットワーク内に外部から侵入される可能性はなく、その意味では安全性は高い」と記載されており、その脆弱性を疑うのは難しいだろう。

また、BCP対策の記述もあるが、バックアップからのデータ復旧が記載されている。しかし、今回そのバックアップが同一のネットワーク上にあったため、ランサムウェアに感染して、利用することができなかった。

そこで、今年度はランサムウェアの検知ソフトウェア導入やバックアップデータを独立して保管することなどを新しく追加し、更にわかりやすい内容に改定するとのことだ。

ランサムウェアの対策として

ソフトウェアによる対策

ランサムウェアの侵入検知ソフトウェアはいくつかあるが、通常のウイルス対策ソフトウェア同様、ゼロデイ攻撃を防ぐのは容易ではない。ふるまい検知により、ある程度の検知は可能だが、完全とは言いきれないことを考慮しつつ、自分たちのシステム規模やサポート状況などを鑑みて導入する必要がある。

バックアップデータの分離保管

バックアップデータだけでなく、他所へ渡す必要のない、もしくは渡す頻度が極めて低いデータは、現行のネットワークとは別の場所で、保管・運用する必要がある。これによって、たとえランサムウェアに感染しても、重要なデータは保管され、復旧が可能だ。ここで重要なのは、復旧のシナリオを作成し、準備しておくことだ。いざ、復旧という段になって手順がわからなければ、それだけ復旧に時間を要してしまう。

ただ、システムで蓄積されたデータのバックアップを、別の場所で保存するためには、データの移行が発生する。データの量によっては、日次処理では間に合わない可能性もあるだろう。たとえ日次としても、その作業での誤りや情報漏えいを防ぐため、バックアップのシステムを構築しておくことも必要だ。

従業員の訓練の必要性

つるぎ町立病院を攻撃したランサムウェアは、VPNの脆弱性を突いて侵入され、ウイルスが仕組まれたが、このほかには、メール添付のファイルを開くことで、このウイルスに感染することが知られている。

メールについては、標的型攻撃に対応するソフトウェアを導入することも1つの手であることは間違いないが、メールを受信する従業員一人一人にも教育が必要だ。安易にメールの添付ファイルを開けないこと、メールのヘッダ情報を確認するなど、基本的な対策について身に着けておいてほしい。

前述のガイドラインには、「従業者に対し個人情報の安全管理に関する教育訓練を定期的に実施すること」という記述があるが、これをもう少し広げて、教育を行うべきであろう。

バックアップシステムの構築を簡単にする

前項で記載したバックアップシステムの構築は、どのようにすべきだろうか。費用が潤沢にあれば、大掛かりなシステムを構築することも可能だろう。しかし、USBメモリでデータを移動させ、バックアップを実現してもよいのではないか、と思う事業者も多いのではないだろうか。

ランサムウェアに強いバックアップシステムとは

バックアップシステムは、通常バックアップサーバに専用のソフトウェアを使って、データを定期的に保存する。バックアップがネットワークの先につながっていては、バックアップもランサムウェアに感染してしまうため、独自のプロトコルでしかつながらないように、制御されているソフトウェアが必要となる。

本格的にバックアップを実施するとなると、こういった機器のほか、要員の確保、スケジュールの設定、定期的なメンテナンスなどそれなりに高額な費用を用意しなければならない。

USBメモリでのデータ移動の問題点

そんなに本格的なバックアップは必要ない、という場合の選択肢としては、USBメモリがあるだろう。

しかし、USBメモリでデータを移動させる場合、情報漏洩リスクが非常に高く、パスワードで保護されていても、部内者による持出も否定はできない。

また、部内のものによる持出を防ぐために、利用履歴を取ると共に、利用には承認が必要という運用も考えられるが、これも非常に煩雑で、日々の業務で実施するには手間がかかる。

「データブリッジ」という選択肢

NTTテクノクロスが提供する「データブリッジ」を利用すれば、データの移動は自動で行うことが可能だ。しかも、利用者の制限や、利用ログは自動でとってくれる。移動したいファイル名の制限も可能なので、本来ダウンロードすべきではないファイルを持ってくることもない。

1度利用設定を行えば、あとは自動でシステムがデータをバックアップサーバへ移動。しかも、費用はＰＣ一台分。

2つのシステム間はUSBケーブルでつなぐため、IP通信は行わず、ネットワークとしては完全に分離したままであり、ウイルスが中に入ってくることはできない。

ランサムウェア対策の一つとして、「データブリッジ」を検討してみてはいかがだろうか。

2週間、無料で評価機を利用することもできるので、気軽に連絡してほしい。