THE 3Bees POST



サイバー攻撃からクリニックを守る
最もシンプルな情報キュリティ対策 6つのポイント

2017年8月1日 at 3:10 PM

未だ記憶に新しい、今年5月のWannaCryによるサイバー攻撃しかり、ここ数年、ランサムウェアの種類とそれらによる被害は、増加の一途を辿っています[※1,2]。

WannaCryがもたらした被害は世界150カ国に及び、その総額は推定80億ドル(およそ9000億円)[※3]。世界的に見れば、ロシア内務省、ドイツ鉄道、英国の日産自動車工場、英国の健康保険サービス(NHS)等、また国内でも、JR東日本や川崎市をはじめ、大小様々な組織や個人から20件以上の被害届けがあったことが報告されています[※4,5]。英国NHSでは多数の端末がオンライン接続の切断を余儀なくされ、複数の医療機関で手術や診察、検査の予約をキャンセルせざるを得なくなったり、MRIやCT、レントゲン等の病理診断ができなくなったりと、診察自体が不可能になるケースも相次ぎ、大きな混乱をもたらしました[※1]。

サイバー攻撃は、もはや他人事ではありません。中小の組織であれ個人であれ、今日にもターゲットになる可能性は否定できないのが現実です。加えて、医療機関は業務そのものの社会的重要性に加え、こちらの記事でも述べた通り、個人情報保護法の定める「要配慮情報」を取り扱っているために一般企業よりさらに高度な情報セキュリティが求められます。

しかし、通常の規模のクリニックにおいては、IT専門のスタッフを雇ったり、また、情報セキュリティの専門家にネットワークの監視を依頼したりすることが難しい場合がほとんどではないでしょうか。また後述するように、医療機関では一般企業よりも情報セキュリティ対策が難しい現実があります。

そこで本稿では、IT専門のスタッフがいない、あるいは、情報セキュリティの専門家に監視を依頼するのが難しい、クリニックをはじめとする中小の病医院において、最低限しておくべき情報セキュリティ対策のポイントを凝縮してご紹介します。

医療機関におけるインターネットセキュリティ対応の難しさとは?

WannaCryおよびその亜種の攻撃対象となったWindows OSにおける脆弱性は以前から指摘されており、Microsoft社も2017年3月にこの脆弱性に対するパッチを公開していました。また、同じ脆弱性を持つWindows XPは2014年4月にサポートを終了しており、サポート終了以前からWindows XPを利用し続けることのリスクが説明され、Windows10等へ移行するよう再三に渡り呼びかけられていました。つまり、それらの指摘や呼びかけを無視せずに、ポチッと「更新」ボタンをクリックしたり、OSをアップグレードしてさえいれば、今回のランサムウェアの被害に遭うことはなかったのです。

上記で述べたOSのアップデートを含めて、情報セキュリティ対策の基本中の基本は、以下の5点にまとめられます。

  1. OSを最新の状態に保つ
  2. ウィルス対策ソフトをインストールし、ウィルス定義ファイルを最新の状態に保つ(できれば自動更新する)
  3. 重要なデータは必ずバックアップする
  4. 不審なメールの添付ファイルの開封や、記載されたURLへのアクセスはしない
  5. 出所の分からないメモリや外付けハードをUSB等で端末に接続しない

ところが、医療機関にとっては、この基本中の基本とも呼べる対策を実行することが、実は難しいようです。先のWannaCryの被害に遭った英国NHSの事例でも、“英国をはじめ各国の医療機関はしばしば古いWindowsのシステムに依存しており、MRIや血液検査等の外部のサービスも同様で、これらは簡単にアップグレードやパッチのインストールをすることはできない”、”アップグレードやパッチのインストールを行うことによってシステム障害が起きる可能性もある一方で、ベンダーが単にアップグレードを拒んでいる場合もある”※1と指摘されています。医療機関に限らずどんな環境でも言えることですが、ソフトウエアが新しいOSに対応しない限りは、OSを更新することで不具合が起きて業務そのものが滞ってしまう可能性があります。医療機関の場合は、一般企業で一般的に使われているソフトウエアと異なり、ユーザー数の少ない、あるいは、カスタマイズされているケースも少なくないため、OSの更新そのものが業務を妨げうる大きなリスクであるという、如何ともし難い現実があるようです。

クリニックにおける情報セキュリティ対策の最もシンプルな6つのポイント

そうした背景を踏まえると、クリニックの情報セキュリティの基本とは、どのようなものになるのでしょうか。以下に、ぜひ抑えていただきたいポイントを整理しました。

  1. OSをできるだけ最新の状態に保つ
  2. ウィルス対策ソフトをインストールし、ウィルス定義ファイルを最新の状態に保つ(できれば自動更新する)
  3. 重要なデータは必ずバックアップする
  4. 不審なメールの添付ファイルの開封や、記載されたURLへのアクセスはしない
  5. 出所の分からないメモリや外付けハードをUSB等で端末に接続しない
  6. UTM(統合脅威管理)を積極的に導入する

これらのポイントをしっかりと抑えられれば、サイバー攻撃に対して怯えることなく(当然リスクは残されるものの)基本的に安心して診療に集中できる環境を整えることができます。

6の「UTM(統合脅威管理)」という耳慣れないタームについては、次稿で解説いたします。

【出典/参考】
※1. WannaCry: What can you do to protect your business?(BBS, 2017/5)
http://www.bbc.com/news/business-39947944
※2. ランサムウェア 過去、現在、そして未来(トレンドマイクロ, 2017)
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=231
※3. Potential economic loss from a cyber event is now on par with Superstorm Sandy(CYENCE, 2017)
https://www.cyence.net/blog-lloyds-report.html
※4. 大規模サイバー攻撃、国内被害21件確認 警察庁(日本経済新聞, 2017/05/17)
http://www.nikkei.com/article/DGXLASDG18H1X_Y7A510C1CC0000/
※5. 上下水道局におけるランサムウェアの感染について(川崎市, 2017/05/15)
http://www.city.kawasaki.jp/templates/press/800/0000087426.html

^