12病院が同じ脆弱性でサイバー攻撃被害、厚労省の注意喚起が届かないこれだけの理由：「3ない状態」「ベンダー丸投げ」が不幸な事故に

社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。

[高橋睦美，＠IT]

　サイバーセキュリティの世界では競合する企業や組織の壁を越えた「共助」の取り組みが進んでいる。その中核になっているのが「ISAC」（Information Sharing and Analysis Center）と呼ばれる団体で、情報通信や金融、自動車など複数の業界で結成されてきた。

　医療ISACもそうした組織の一つだ。前身となるメディカルITセキュリティフォーラムとして2014年から活動を開始し、医療機関向けのサイバーセキュリティに関するセミナーやワークショップを実施する他、ワーキンググループ活動も展開してきた。また2019年には米Health-ISACと業務提携を結び、グローバルな活動も開始している。

　その医療ISACの代表理事で、愛知医科大学 医療情報部長・教授の深津 博氏が、2023年3月に開催されたサイバーセキュリティの専門イベント「Security Days Spring 2023」で「医療機関が行うべきサイバーセキュリティ対策2023」と題して講演した。講演時点ではパブリックコメント募集段階にある厚生労働省の「医療情報システムの安全管理ガイドライン 6.0版」のポイントと、関連する経済産業省、総務省のガイドラインとの関係性、そしてベンダーとの関係を中心に医療機関が進めるべき対策の在り方を整理しながら解説した。

リスクアセスメントとリスクコミュニケーションの重要性を示すガイドライン新版

医療ISAC 代表理事 深津 博氏

　厚労省の安全管理ガイドラインの歴史は古く、第1版が作成されたのは2005年のことだ。「外部保存改正通知」「e-文書法」「個人情報保護法」の3つの法的な要請を満たすにはどういった対策が必要かを整理し、まとめた内容で、「単なるセキュリティ要件ではなく、法令順守、コンプライアンスの要件となっています」（深津氏）。

　その後、社会状況に合わせて10回以上改訂が繰り返されてきたが、2022年12月15日に公表された安全管理ガイドライン 6.0版では大きな変更点があった。「これまではルールベースの記載、ToDoリスト方式の記載であったのが、第6.0版では書きぶりが大きく変更され、リスクベースの記述になっています」（深津氏）

　以前のガイドラインには「これをしなくてはならない」といった具体的な記述が並んでいた。だがクラウドの普及で、医療機関ごとにシステムが複雑化していった結果、「これさえやっておけばよい」という単純な話では済まず、自分の組織ではどこを読んで対応すればよいのか分かりづらくなってきた。

　こうした課題を背景に6.0版は、自組織のリスクアセスメントを行い、その結果を踏まえてどういった対応をすべきかを検討する、リスクベースのガイドラインとなっている。

　ちなみに、医療機関のセキュリティを実現するには、利用者である医療機関の取り組みだけでなく、病院を支えるシステムの開発、運用を担うベンダーの取り組みも欠かせない。このため厚労省のガイドラインに加え、経済産業省、総務書からも、医療情報を取り扱うシステムやクラウドサービスを提供する事業者向けにガイドラインが提示されている。

　以前は経産省から1つ、総務省から2つの「3省4ガイドライン」となっていたが、2019年に総務省のガイドラインが一本化され「3省3ガイドライン」に、2020年8月に経産省のガイドラインと総務省のガイドラインが一本化されて「3省2ガイドライン」へと統合されてきた。この一本化の際に記述がリスクベースへと変更されており、今回の厚労省ガイドラインの改定もそれに準じたものといえるだろう。

　リスクベースへの変更でもたらされた分かりやすい効果の一つが、ページ数の削減だ。前述の経産省のガイドラインは85ページ、総務省のガイドラインは112ページもあった。2つを統合したことで、わずか52ページにまでコンパクト化されている。

　また、これまでのガイドラインは「何をしなければいけない」という要素を中心に書かれていたため、それをリスクベースに読み直す必要もあったが、今回の6.0版の記述は現場で管理に当たる側にとって明瞭化されている。だが深津氏は「今まではToDoリスト方式で、『これさえやっていれば大丈夫だ』と無目的にやってきたところは、少し意識を変えないと対応が難しいでしょう」とくぎを刺した。

　さらに今回の改訂は、システムがオンプレミス型か、クラウド型か、専任のシステム管理者がいるか、いないかといった幾つかの「場合分け」をした上で記述されている。このため、自分とは関係のない記述はスキップできる。

安全管理ガイドライン 6.0版の構成

　その上で、「経営者向け」「システムの安全管理者向け」「現場のシステム運用担当者向け」という3つの枠組みに沿って検討すべき事柄が記述されている。大きく分けて5つの項目があり、最初に「責任や責務」、2番目に「リスク評価」というキーワードが登場していることがポイントだ。

　「ガイドラインの最後に、情報システム、サービス事業者との協働が強調されています。電子カルテなどのシステム、サービス事業者と協力しなければ、セキュリティの確保はおぼつかないということです。逆に言えば、今までこの共同体制が必ずしもうまくいっていなかったという反省に立ち、こういう項目が生まれてきたと考えられます」（深津氏）

　厚労省のガイドラインは法律でこそないものの、コンプライアンス要件となっている。さらに、医療機関の経営という観点から見ると、診療報酬の請求に際しては、ガイドラインに準拠した体制であることが要件となっている。従って、「もしこのガイドラインに準拠せず体制加算の診療報酬を請求して、後の監査などで指摘されると、不正請求と見なされ、最悪の場合は診療報酬の返納を求める行政処分が下される可能性はある」と深津氏は述べ、その重さを指摘した。最悪の場合、数億円単位での診療報酬返納もあり得ることを意識すべきと言う。

　もう1つ重要なポイントは、経産省、総務省のガイドラインとの連携だ。厚労省のガイドラインでは、「事業者が経産省、総務省のガイドラインに基づいて支援することを契約で定め、定期的に報告を受けること」を医療機関の責務としている。従って、「事業者が経産省のガイドラインに違反することは、結果的に、その顧客である医療機関が厚労省のガイドラインに違反する状況を作っている、といえる」（深津氏）

　現時点では、医療機関と事業者のいずれもそこまで意識していないのが実情だ。だが実は、厚労省ガイドラインの最新版である5.2版ですでに、医療機関が患者の個人情報を取り扱う上で、電子カルテなどの委託事業者に対する管理責任も発生するとされている。しかも「単に任せきりにしているだけでは、この責任を果たしたことにはならない」と記載されており、責任の所在を明確化した上で事業者を監督するよう求めている。同様に経産省と総務省のガイドラインにも「対象事業者と医療機関の間の合意形成」という項目があり、リスクアセスメントを行い、その結果を医療機関に報告してリスクコミュニケーションを取り、役割分担を明確化して合意を得た上で契約を結ぶことが明確に示されている。

　深津氏は、医療機関側は経産省、総務省のガイドラインを深く読み込んでいないかもしれないが、すでにこうした記述があり、「自発的に」実施するよう求めていることを踏まえ、それに従って事業者に報告を求めていくのが「目指すべき戦略ではないか」とした。

ガイドライン同士の相互連携

　「リスクマネジメントは、事業者は当然、医療機関も絶対に実施する必要があります。その結果、リスクを技術的な対策で低減するのか、運用で回避するのか、保険に入って移転するか、あるいは大したリスクではないから受け入れるかといった選択肢があるでしょう。その上で事業者とリスクコミュニケーションを取り、互いにリスクを共有、把握して、どこからどこまでが責任範囲か合意した上で、契約に至ることが非常に重要です」（深津氏）

　しかも、リスクは常に変化していくことから、少なくとも年に1回は何らかの形でリスクコミュニケーションを取り、更新していくことも必要だろうとした。

「3ない状態」が「ベンダー丸投げ」に　これからどう対策すればよいのか

　続けて深津氏は、医療機関のサイバーセキュリティの現状について、幾つかのアンケート調査結果を基に説明した。

　2022年2月に医療ISACが四病院団体協議会と共同で行ったアンケートによると、ちょうどつるぎ町立半田（はんだ）病院におけるランサムウェア感染が明らかになった時期と重なったことももあり、医療機関の約90％がサイバーリスクを身近なものと感じていたという。一方で50％は「予算が不足している」と回答し、医療機関のシステム担当者は平均で2.6人足らず、セキュリティ専任の管理者はいない、といった状況だった。また、約3割は、脆弱（ぜいじゃく）性が存在するVPN装置を使用していたことも明らかになった。

医療機関のサイバーセキュリティをめぐる現状

　「まとめると予算がない、人材がない、知識がない『3ない状態』となります。これは病床規模や区分を問わず、保険診療を制度的な前提とした国内の医療機関全ての共通課題といえるでしょう」（深津氏）

　というのも、現在の保険診療制度では、セキュリティ対策にいくら予算を割いても、診療報酬ではセキュリティ対策に関してまったく手当がされない。このため、限りある予算の中で投資先を決める際には、どうしても診療報酬というバックのあるものが優先され、セキュリティが一番後回しになってしまうという。

　その結果、起きているのが「ベンダーへの丸投げ」だ。医療機関側は「よく分からないから、ベンダーさんにお願いすれば、セキュリティもやってくれるだろう」と根拠なく思い込む一方で、ベンダーは「そんなことを言われても、契約を結んでいないのだから、セキュリティ対策はうちの責任ではない」という状態が発生し、その隙間で不幸な事故が起きてきた。さらに、「電子カルテなどの医療用業務システムはインターネットに接続していないから、サイバー攻撃を受けるはずがない」という、クローズドネットワークの安全神話も状況を悪化させる一因となっている。

セキュリティリテラシーも課題に

　結果として、医療ISACが把握しているだけでも2021年に5件、2022年には14件のランサムウェア被害が発生した。その多くが、フォーティネット社のVPN機器に存在する脆弱性を突いて侵入されたものだった。2022年にかけて厚労省が4回も注意喚起を出してきたにもかかわらず、同じ脆弱性を悪用されて同じように侵入されてしまったわけで、注意喚起があっても効果はあまり上がっていない。

医療ISACが把握している医療機関のランサムウェア被害（疑い例、未公表含む）まとめ

　なぜこうした状態が続いているのだろうか。深津氏は「VPN装置の大半は事業者が持ち込み、設置したものであり、病院側は、そういう機器が自分のところに置かれていることも知らなければ、脆弱性対策の対象になっていることも知らなかったという事例が、かなり多くあります」と実態を述べた。従って、いくら注意喚起が出されても、病院側は「自分には無関係」と捉え、その事実が伝わらないままだった可能性は高いという。

　こうした事態を防ぐには、やはり、ガイドラインでも示されているリスクアセスメントとベンダーとのリスクコミュニケーション、役割分担の明確化が重要といえる。

　現時点では、リスクコミュニケーションが円滑に行われているかというと残念ながら逆だ。深津氏によると、リスクアセスメント結果を求めても「社外秘となっているため」という理由で開示を拒否された事例まであるという。こうした状況を変えるため、「医療機関はガイドラインに基づいて、事業者に対して情報をきちんとくれと要求し『われわれに分かるように説明してくれ』と求めていく必要があるでしょう」と深津氏は述べた。

リスクコミュニケーションが重要に

　このままベンダーへの丸投げを続けていくと、医療機関にとって一方的に不利な契約を結ばされ、しかもその事実を知らないまま運用し続ける状況が起きる可能性もある。現に、半田病院でランサムウェア感染事故が発生したときのベンダー側の言い分は、「機器は入れていたが、その脆弱性対策は契約内容に明記されていなかったため、当社には責任はない」というもので、医療機関側は費用の弁済を求めることすらできない状態だ。

　深津氏は、この状態に対して病院側に責任もあると指摘した。「ベンダーマネジメントは病院の責務ですし、契約締結の際に細かい文言を確認しないのはやはり問題があると思われます」（同氏）。ITベンダーならばセキュリティにも詳しいはずだというあいまいな期待で頼るだけではいけないというわけだ。

　では、現時点で医療機関とベンダーのリスクコミュニケーションはどの程度行われているのだろうか。全国保険医団体連合会（保団連）と日本病院会が2022年11月に実施したアンケート調査によると、「責任分界点についてきちんと説明を受けている」と回答したのは、たった15％、報告などを確認しているのは24％にすぎなかった。また、報告を受けている24％の医療機関でも、その内容が役に立っていないとする回答が4割以上に上っていた。

責任分界点についてきちんと説明を受けているのは15％

　同調査では、大手電子カルテベンダー4社について、報告書の内容が役に立っているかどうかも尋ねている。この結果、ベンダーごとに差があることも分かったという。「少なくとも、リスクコミュニケーションを積極的に行っているベンダーと、あまり取り組んでいないベンダーがあるのではないかと示唆されます」（深津氏）

電子カルテベンダーとのリスクコミュニケーションへの取り組み状況

　このように見ていくと、医療分野のサイバーセキュリティ対策では細かな技術的な議論以前に、医療機関とベンダーの関係性を見直すべきことが分かる。

　深津氏は、「ベンダーに丸投げではなく、自分たちでやるべき点はやりつつ、依頼すべきところはきちんと契約を結んで依頼するといった医療機関とベンダーの共同のセキュリティ対策が目指すべきところであり、それが復旧力のあるセキュリティ対策になるのではないでしょうか」とし、医療機関とベンダーが互いにもっと歩み寄るべきだとした。

脅威インテリジェンスを生かしたモニタリングを被害の未然防止に活用

　最後に深津氏は、医療ISACによる被害拡大防止の取り組みも紹介した。

　医療ISACでは、セキュリティニュースの配信やオンラインセミナーの開催、医療機関向けのオンライン無料相談など、サイバー攻撃による被害を未然に防ぐためにさまざまな活動を展開してきた。

　中でも最近力を入れているのが、脅威インテリジェンス調査を生かした働きかけだ。インターネットから誰でも見える、アタックサーフェス（外部攻撃対象領域）をチェックし、そこに脆弱性が存在するかどうかを可視化し、脆弱性を悪用される前に対処を促していくというものだ。

　最近の攻撃では、医療機関自身のシステムや施設だけでなく、外注事業者のシステムに存在する脆弱性が悪用され、そこから侵入を許す、いわゆるサプライチェーン攻撃が発生している。自組織はがちがちに固めていても、委託業者経由で突破されてしまう。

　「とはいえ、自組織のセキュリティ対策さえ十分にできていない医療機関に対して『サプライチェーン、委託事業者までちゃんと面倒を見ろ』というのは、現場目線で見ると非常に酷な要求ではないか」（深津氏）

　そこを補うために、自組織のアタックサーフェスだけでなく外注事業者のアタックサーフェスもモニタリング対象にすることで、攻撃準備の段階で予兆をつかみ、予防につながる可能性があるとした。合わせて、ダークWeb上の情報をチェックし、漏えいしたアカウント情報が流通していたり、日本の医療機関に関係する情報がないかを確認したりすることで狙われる可能性をスコアリングし、必要があれば対策を繰り返していくことが、有効な手段の一つではないかとした。

　2022年6月にLockbit 2.0というランサムウェアに感染した徳島県の鳴門山上病院では、Wiseman社が自社の電子カルテシステムとともに持ち込んでいたFortiGateが悪用された。そして、同インシデントが発生する前から、ブラックマーケットではWiseman社が利用していたとおぼしきIDとパスワードが流通していたという。

　医療ISACでは同インシデント発生を受け、その危険なアカウントを利用している3つの病院とWiseman社に連絡を取り、対処を依頼。未然に被害を防ぐことができた。他にも、攻撃者のチャット情報をウオッチし、病院に対する攻撃を示唆する情報があれば通報し、未然に防ぐといった取り組みを日々続けているという。

医療ISACによるランサムウェア被害阻止活動

　深津氏はセキュリティ対策を進めていく中で、BCP（事業継続計画）を見直した上で、バックアップの取得やサイバー保険への加入といった対策を採り、有事に備えてほしいとした。