武蔵小杉病院へのサイバー攻撃､ナースコールに障害･･･企業とはまた違う"命の問題"になりうる｢病院が標的｣の深刻度

一般企業では、リモートワークの普及に伴いネットワーク環境を刷新する機会があったが、病院は以前からの回線・機器をそのまま使い続けているケースが多く、古い構成のままインターネットに接続されている状況が生まれやすい。

また、VPN以外にも注意すべき侵入経路はある。不審なメールの添付ファイルや偽リンク、そしてログイン時の本人確認を二重に行う「多要素認証」を導入していないアカウントも、攻撃者が好んで利用する経路だ。パスワードが漏れた瞬間にアカウントが乗っ取られるリスクがある。

重要なのは、「VPNが危険」なのではなく、適切な管理がなされていないVPNが危険であるという点だ。

過去の医療機関への攻撃事例では、IDの使い回しや簡易なパスワード、脆弱性を放置した機器が侵入口となったケースが多い。一方で、ネットワーク分離やアクセス制御、多要素認証の導入などの基本対策が講じられていた場合、侵害が一部システムにとどまり、診療への影響を最小限に抑えられた事例もある。

つまり、「やるべきことをやっていなければ突破されるが、やるべきことをやっていれば被害は局所化できる」というのが現実だ。サイバー対策は万能ではないが、確実に影響範囲を変えることができる。

義務化されても、対策が進まない理由

こうした被害の拡大を受け、国も動いた。23年4月1日、医療法施行規則が改正され、病院・診療所・薬局などの管理者に対してサイバーセキュリティ対策を講じることが法的に義務付けられた。

厚生労働省は「医療情報システムの安全管理に関するガイドライン」を改訂し、サイバー攻撃を想定した事業継続計画（BCP）の策定、外部事業者との役割分担の事前取り決め、定期的な訓練の実施などを求めている。

では、現場の実態はどうか。

厚生労働省が25年7月に発表した調査によれば、病院全体の57%がサイバー障害を想定したBCPを策定している（前年は27%）。一方で、実際に訓練まで実施しているのはBCPを策定した病院の38%にとどまる。インシデント発生時の対応チームを設置している病院も約42%だ。