医療機関は診療情報や保険情報など高価値データを大量に保有し、漏えいによる恐喝にも転用されやすい領域です。さらに救急を含む24時間稼働で「止められない」ため、攻撃者は停止圧力で交渉を優位に進めます。情シスとしては、守るべきは端末単体ではなく、診療を止めないための全体設計である点を前提に置く必要があります。
加えて、医療機器や部門システム、外部保守回線、拠点間接続が積み上がり、例外運用が常態化しがちです。更新困難なOSや常時開放のリモート接続は侵入経路になりやすく、院内横展開の温床になります。まず資産と接続の棚卸しを行い、例外を「見える化」して縮小することが出発点です。
医療分野で多いのはランサムウェアを軸に、侵入・権限昇格・探索・バックアップ妨害・暗号化、さらに情報窃取による二重脅迫までを組み合わせる手口です。入口はフィッシング、脆弱なVPN、使い回しパスワード、保守アカウントの管理不備などが典型です。侵入前提で、どの段階で検知し封じ込めるかを設計しておく必要があります。
被害が現場に出ると、電子カルテ参照不可、検査オーダー停止、画像閲覧遅延、会計・予約の混乱として顕在化します。復旧が長引けば外来制限や手術延期となり、地域医療へ波及します。委託先や地域連携ネットワークを介した影響拡大もあり、院内だけで完結しない点を想定した連絡・切断・代替手順が重要です。
初動は「診療継続」と「被害拡大防止」を同時に満たす必要があります。疑わしい端末・サーバは速やかにネットワーク分離し、ログは上書き前に保全します。現場要望で再起動や復元を急ぐと証拠を失い、侵入経路の特定や再侵入防止が困難になるため、判断基準を平時に合意しておくべきです。
BCPとして紙運用への切替、最低限共有すべき医療情報(アレルギー、投薬歴、緊急度など)の伝達手段、止められない業務の優先順位を訓練で固めます。対外説明は事実と推定を分け、診療影響と問い合わせ窓口を明確化します。情報を伏せすぎても断定しすぎてもリスクがあるため、広報と技術の連携手順も準備が必要です。
入口対策として、VPN・リモートデスクトップ・保守ゲートウェイは多要素認証を必須化し、接続元・時間・端末の制限を設けます。アカウント棚卸しを定期化し、共有ID廃止、特権ID分離、パスワード使い回し禁止を運用で担保します。クラウド利用がある場合は条件付きアクセスや不審ログイン検知まで含め、認証を最重要コントロールとして扱います。
横展開対策では、医療機器系・職員端末・サーバ・来訪者Wi-Fi・委託管理系を論理分離し、必要最小限の通信に絞ります。更新困難な機器は「周辺を固める」セグメンテーションと通信制御で守ります。復旧力の中核はバックアップで、世代管理、オフライン/イミュータブル化、定期復元テストを必須要件とし、RTO/RPOに基づく復旧順序を手順書化します。
最後に、ログは「取る」だけでなく使える形で集約し、不審認証、権限変更、大量転送、バックアップ停止を監視します。対応できる夜間休日の連絡網、一次切り分け、隔離の権限設計がセットでなければ検知は機能しません。院内要員が不足する場合はSOC/MDR活用も含め、運用として回る形に落とし込むことが鍵です。
