【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果について｜アクシオ×ソリトンシステムズ

今日の医療業界は、サイバー攻撃の増加とそれに伴う医療情報システムガイドラインの改定により、セキュリティ対策の重要度が高まっています。しかし、現場の担当者の中には「ネットワークのどの領域をどうやって守ればいいかわからない」という課題に頭を悩ませている方もいるのではないでしょうか。

 このような現状に対して、株式会社アクシオ（以下、アクシオ）と株式会社ソリトンシステムズ（以下、ソリトン）は、2024年1月に「医療ガイドライン第6.0版に準拠したセキュリティ対策を解説！」というテーマでウェビナーを開催。多くの医療情報システム担当者の方にご参加いただき、好評のうちに幕を閉じました。

前回のウェビナー：【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは？｜アクシオ×ソリトンシステムズ

そこで、より多くの医療情報システム担当者の方に適切なセキュリティ対策を伝えるため、再びアクシオとソリトンでウェビナーを開催。2024年9月26日に『～医療機関の事例と効果を紹介～「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果について』というテーマで、求められるセキュリティ対策を中心にお伝えしました。

 この記事では、講演を担当したアクシオの設樂和樹氏、ソリトンの鎌田歩里に実施したインタビューから、効果的なセキュリティ対策のヒントを探ります。

ランサムウェアの脅威から医療機関を守るには？
求められるセキュリティ対策のポイント

サイバー攻撃を仕掛ける攻撃者は、様々な手段で企業の機密情報を狙っていますが、その中でも特に警戒しなければならないのがランサムウェアです。IPA（独立行政法人情報処理推進機構）が発表する「情報セキュリティ10大脅威2024」でも、4年連続1位にランクインしています。医療機関においても、電子カルテや患者情報といった機密性の高い情報が標的となり、数十億円規模の被害が発生した事例も報告されています。攻撃経路は、VPNやデータセンターの脆弱性を突いたものだけでなく、職員の私用PCを経由したケースも確認されており、その手口は巧妙化しています。

 こうした背景を受け、「医療情報システムの安全管理に関するガイドライン」が第6.0版へ改定され、より現状に沿ったセキュリティ要件が定められました。高度化するサイバー攻撃から大切な情報を守るためにも、このガイドラインへの早期対応が求められていますが、具体的な対策がわからないために、セキュリティ対策が遅れている医療機関も存在するのが実情です。

 ソリトンは、実際の被害事案や医療業界での業務環境を踏まえると、求められるセキュリティ対策は、「予防」「安全化」「防御」の3つだと考えています。

まず予防のための対策として、改定ガイドラインを踏まえると、ネットワークの入口である端末にログインする際の本人認証を厳格化することが重要です。
ガイドラインには「2027年までに医療情報システムへのアクセスを行う全ての職員及び関係者に、二要素認証に用いる手段を用意し、統一的に管理する必要がある」との記載があります。実際の現場では、電子カルテシステムにログインするタイミングで二要素認証を実施するよう、取り組まれているケースが多いようです。しかし、医療情報システムは電子カルテだけではなく、例えばオーダリングシステムやレセコン等も含まれます。その為、全体のシステムの入口である端末にログインするタイミングで二要素認証を行う方がより適しているといえます。

また、医療機関では、リモートメンテナンス業者や訪問診療を行う医療従事者など、外部から院内ネットワークに繋ぐことが多くあります。外部から院内ネットワークに接続する際に経由するVPN機器の脆弱性を突かれて、攻撃者が院内ネットワークに侵入するケースが非常に多くあるため、VPN認証の強化も重要なポイントです。     

続いて、安全化のための対策では、院内からでも安全にブラウザを利用できるよう、HIS系端末におけるインターネット接続での厳格な端末内分離が欠かせません。しかし、従来のインターネット接続では、複数のデバイスを使って物理的に環境を分けていたため、運用に負担がかかる状況でした。その後、仮想端末が登場しましたが構築のための基盤設計が必要で、導入・維持にあたり、コストと時間の両面で負担がかかっていました。よって、端末内分離によるセキュリティと誰でも負荷なく扱える運用性を両立できる手段が理想的です。

最後に、攻撃を受けてしまった際に被害を最小限にするための防御策が必要になります。ランサムウェアとは、攻撃によってデータが暗号化され、復旧のために身代金が要求される手法です。そのため、「攻撃を無害化する」ための対策と、「データを復旧する」ための対策を実施することができれば、被害を最小限にすることが可能です。

「予防」「安全化」「防御」という3つの対策を実施することで、大切な情報を扱う医療機関でも安心して業務を行うことができるようになります。 

アクシオ×ソリトンが提案する具体的なソリューション

今回のウェビナーでは、医療情報システムを安全に維持するために必要だと考える対策を「予防」「安全化」「防御」のカテゴリーに分けて、具体的なソリューションを紹介しました。

• 予防のソリューション：SmartOn ID、Soliton OneGate
• 安全化のソリューション：Soliton SecureBrowser  
• 防御のソリューション：VVAULTシリーズ

予防のソリューション：SmartOn ID、Soliton OneGate

端末ログイン時に求められる本人認証の強化には、SmartOn IDを活用できます。SmartOn IDでは、記憶情報を用いた認証、所有情報を用いた認証、生体情報を用いた認証のうちいずれか2つ以上を組み合わせる前提のもと、お好みの認証方法を設定することが可能です。医療機関では、マスクや手袋を外せない場合でもストレスなく認証できる、ICカード認証が選ばれる傾向にあります。

VPN強化には、Soliton OneGateが有効です。偽造が難しいデジタル証明書を活用した多要素認証で、VPNをはじめとするネットワークの入口での認証を強化することができます。外部への証明書発行も専用アプリを用いてセキュアかつ、わずかなフローで配布できるため、運用性も担保されています。

安全化のソリューション：Soliton SecureBrowser

「安全化」の具体的なソリューションとしては、ネットワーク分離を実現するSoliton SecureBrowserがあります。アプリケーションを用いることで、1台の端末で分離環境を構築できるため、コストを抑えつつ導入・維持の負担を軽減。また、ブラウザ画面も汎用ブラウザに可能な限り寄せているため、誰でも簡単に利用することが可能です。セキュリティ面でも、ログアウト後に閲覧履歴を自動削除する仕組みになっており、端末自体にデータを残さないため、データ漏えいのリスクを軽減できます。

防御のソリューション：VVAULTシリーズ

攻撃を受けた場合の「防御」に有効なソリューションがVVAULTシリーズです。ランサムウェアの被害事例では、バックアップのサーバーがマスターサーバーと同じネットワークにあるケースも見られます。しかし、その構成ではランサムウェア攻撃を受ければバックアップも暗号化されてしまうことに。実際、警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、有効回答が得られた事案のうち、68%がバックアップも暗号化されています。よって、バックアップをとるだけでなく、データを簡単にアクセスできない場所に冗長化して保存することが欠かせません。

VVAULTシリーズでは、マスターサーバーから隔離された領域にバックアップを保存できる上、データが暗号化されても、保存履歴などから簡単に復元可能です。また、ランサムウェア攻撃の検知・無害化にも対応しており、被害を最小限にすることもできます。

医療業界でセキュリティ強化を実現させた事例2選

アクシオとソリトンが提案するソリューションは、医療機関でも多く採用され、セキュリティや運用性の観点でも評価されています。

1.つるぎ町立半田病院様の事例

つるぎ町立半田病院様は、SmartOn IDを導入し、ICカードを活用した二要素認証を実施しています。同院では、入退室管理で既にICカードを活用しており、端末認証時にも同じ方法を採用することで、運用しやすい形でセキュリティ強化を実現しました。

医療従事者は、手術用手袋やマスクの着用が必須となる場面が多く、顔認証や指紋認証といった生体認証では、都度それらを外す手間が生じ、業務効率が低下する懸念があります。

その点、SmartOn IDは、お客様の業務環境に合わせてお好みの認証方法を選択できるため、安全性と利便性を担保することが可能です。 

事例ページ：つるぎ町立半田病院様

2.綜合病院 山口赤十字病院様の事例

山口赤十字病院様は、Soliton SecureBrowserとファイル受け渡しソリューションのFileZen Sを導入し、よりセキュアな業務環境を構築しました。

山口赤十字病院様が仮想ブラウザ方式を検討するに至ったきっかけは、日本赤十字社が推進する全社統合情報システムへの参画期限が2022年度末に迫る中、要求スペックを満たす端末の導入・運用の実現が難しいと感じたことでした。

山口赤十字病院様では、ネットワークの物理的な分離にいち早く取り組み、150台近いインターネット専用端末を保有していました、。そのため、要求されるハイスペックで高額な端末への入れ替えを行うと、その対応コストは数千万円にも及びます。このことから対応に苦慮していたところ、仮想ブラウザの仕組みを使ってもよいという話が挙がったこと、そして他院でも事例が出始めたことから仮想ブラウザ方式導入の検討を開始。仮想ブラウザを活用すれば、以前から院内での要望が多かった『電子カルテ端末からのインターネット閲覧』も安全に実現できるのでは、と考えました。 

以上のことから、Soliton SecureBrowserを選定。院内環境での動作検証を念入りに行った結果、問題なく動作することがわかり、導入に至りました。また、分離ネットワーク間でのファイルやデータの受け渡し制御、ファイルの取り扱いに関するログの収集および記録を目的としてFileZen Sも導入。電子カルテ端末からインターネットを利用できるようになったことで利便性が向上し、ファイルのログ追跡も可能になりました。 

事例ページ：綜合病院 山口赤十字病院様

アクシオ×ソリトンで医療業界のお客様に対する
丁寧なサポートを実施

病歴など、一般的な個人情報よりも慎重な管理が求められる要配慮個人情報を扱う医療機関では、万全のセキュリティ対策が求められます。医療情報に限らなくても、医療機関が有する氏名や住所などの連絡先が明記された個人情報が漏れてしまえば、悪用されるおそれがあるでしょう。

そのため、医療機関の経営者、従事者、事務担当者には大きなプレッシャーもありますが、医療にかかわるお客様をアクシオとソリトンがセキュリティの側面から支えます。

アクシオの設樂氏は、医療機関に対するサポートについて次のように語ります。

“これからも医療機関の方々へ向けて、サイバー攻撃やセキュリティの最新情報を周知、啓蒙する活動を続けていきます。サイバー犯罪の加害者は、ネットワークの隙を狙うための技術を日々磨いており、手口が巧妙化しているからです。それをキャッチアップして、最新の情報と適切なセキュリティソリューションのご提案をしていきたいと思います。

医療関係者の皆様にも、実際に医療機関でのランサムウェア被害が起きていること、患者様の重要な情報を扱う組織として信頼を損なわない対応が必要であることを、ご理解いただければありがたいです。”

最後に、ソリトンの鎌田が医療機関のお客様に対してメッセージを送りました。

”エンドユーザーのネットワークを運用されている企業は私たちセキュリティソリューションのメーカーとして非常に重要な存在です。こうした企業の中でも、アクシオ様には弊社の製品をご理解いただいており、医療業界のみならず様々な業種でお力添えをいただいております。

セキュリティには、まず自分たちのネットワークやそれを守る体制の現状を把握することが大切です。その上で、予防できるところは予防し、予防だけでは不十分と考えられる部分には防御をします。

医療機関の方々は日常の業務に追われ、以上のようなことを考えるのは難しく感じられるかもしれませんが、大切な患者様の情報を守るためにも、現状の把握を足りていないところから補っていただければと思います。私たちも、そのお手伝いをしていきたいと考えております。”

謝辞

株式会社アクシオ様、インタビューのご協力ありがとうございました。

アクシオ様と協業することで、公共・医療業界をはじめ、さまざまなお客様に最適なソリューションをご提供することができています。

これからもソリトンは、SmartOn IDやSoliton OneGate、Soliton SecureBrowserをはじめとした、利便性と安全性を両立するセキュリティソリューションをお届けすることで、お客様のビジネスの安定化に貢献してまいります。

取材日：2024年10月16日
株式会社ソリトンシステムズ

関連リンク

【株式会社アクシオ様】　https://www.axio.co.jp/