大津赤十字病院のバックアップ基盤から学ぶ医療機関のランサムウェア対策

ヴィーム・ソフトウェアは12月22日、メディア向けセミナー「医療機関におけるサイバーセキュリティの現状と対策～ランサムウェアからデータを取り戻す『バックアップ』の重要性～」を開催した。

ランサムウェアの被害が広がる国内の医療機関

初めに、ヴィーム・ソフトウェア執行役員社長古舘正清氏が日本におけるランサムウェア対策の現状について説明した。同氏は、同社のバックアップ・復元製品が伸長を支えているトレンドは2つあると語った。

その一つが「クラウドの活用によって、バックアップの仕組みを見直す機運が高まっていること」だ。もう一つは、「ランサムウェアがバックアップデータを攻撃するケースが増えていること」だ。

古舘氏は、「われわれは唯一ソフトウェアだけでバックアップの仕組みを提供しているベンダー。だから、ランサムウェア攻撃に対応するときなどの緊急時の対応もスピーディに対応できる」と、同社の製品のアドバンテージを示した。

ヴィーム・ソフトウェア執行役員社長古舘正清氏

そして、国内でもランサムウェアによる被害が増加しているが、その主なターゲットは「上場企業（食品業）」「医療機関」「大手製造業」だという。

古舘氏は、医療機関が狙われている理由として、以下の4点を挙げた。

新型コロナウイルス感染拡大から医療全体が逼迫している
医療機関はプライバシー性の高い個人情報を多く扱っている
電子カルテシステムの停止は、人の命に直接関わる
医療機関はセキュリティ対策が他の業種に比較して脆弱である

厚労省のガイドラインで求められる医療機関のバックアップ

古舘氏の話を受けて、Veeam製品を導入している日本赤十字社大津赤十字病院事務部医療情報課長の橋本智広氏が、医療機関を取り巻くランサムウェア対策について説明した。同氏は、上級医療情報技師、診療情報管理士という資格を取得しており、同病院のセキュリティ対策を担っている。

日本赤十字社大津赤十字病院事務部医療情報課長　橋本智広氏

今年10月に、大阪急性期・総合医療センターがランサムウェアによるサイバー攻撃を受けて、電子カルテなどのシステムの障害が発生して、診療が停止してしまったことは記憶に新しいだろう。この事件について、橋本氏は「これまでも医療機関を狙ったサイバー攻撃はあったが、大きなインパクトがあった」と語った。

この事件を受けて、厚生労働省は「医療機関等におけるサイバーセキュリティ対策の強化について」という注意喚起を行ったほか、医療機関向けセキュリティ教育支援ポータル（MIST）を開設。橋本氏は「医療機関は急ピッチで情報セキュリティ対策の強化を迫られている」と述べた。

加えて、「医療情報システムの安全管理に関するガイドライン（厚生労働省）」を踏まえ、許可病床数が400床以上の保険医療機関は、「医療情報システムのバックアップ体制を確保」「バックアップ体制等について届出」などが求められているという。「バックアップがあれば、有事があった時に説明責任を果たすことにつながる」と、橋本氏はバックアップの有用性を強調した。

医療機関における情報システム運用が抱える2つの課題

続いて、橋本氏は医療機関における情報システム運用の課題について述べた。その一つは、「人的リソースが限られていること」だ。ITのスキルと医療のスキルを兼ね備えた人材が業界全体で少ないという。加えて、医療機関のデジタル化に伴い、管理対象のシステムが拡大している。

病院の情報システム部門は大きく「独立型」「統合型」「兼任型」に分かれている。大津赤十字病院は統合型に属するそうだが、中小の病院は兼任型の人も多いそうだ。

もう一つの課題は「マルチベンダーで構成されたシステムの運用管理の難しさ」だ。業務ごとにシステムベンダーが異なり、セキュリティポリシーもさまざまだという。一方、電子カルテベンダーやセキュリティベンダーはセキュリティの運用管理に消極的であり、情報セキュリティ対策の運用管理は、医療機関が主導して行わなければならない。

当然、システムごとにバックアップの管理方法も異なり、バックアップを一元管理することが困難だという。こうした中、患者の診療情報を安全に管理するには、「統合バックアップ基盤の構築が必要」と、橋本氏は指摘した。

医療機関における情報システム運用の課題

医療機関がセキュリティで主導権を握るためのカギは人材

Veeam製品を導入する前、大津赤十字病院は2つの課題を抱えていたという。その一つは「バックアップ管理環境が、サイロ化／ブラックボックス化されていた」こと。この課題については、Veeam製品によってバックアップ環境を構築したことで、統合された運用管理が可能となった。運用管理を内製化できるようになったことで、その工数が95％削減されたという。

もう一つの課題は「データベース以外はベンダーが必要とするものだけをバックアップ対象としていた」こと。この課題については、システム稼働に必要となるデータのすべてをバックアップできるようになったそうだ。

橋本氏は、医療機関がバックアップの仕組みを構築するにあたって意識すべき点を、取得と復旧の観点から説明した。取得においては、「各システムがバックアップレベルのどこに該当するのかを認識しておくことが重要」と述べた。一方、復旧においては、「いつまでに、どの時点のデータを戻すか」を明確にしておく必要があるという。「データごとに復旧の指標を設定しておくことは難しい。だから、統合バックアップ基盤を構築した」と同氏。

大津赤十字病院では、60システムのうち、20システムのデータを束ねる統合バックアップ基盤を構築した。現在は、電子カルテは書き換え不可能な形でのバックアップに取り組んでいるという。