医療機関におけるゼロトラストセキュリティの重要性

医療機関を狙ったサイバー攻撃が増加している

近年、医療機関を狙ったサイバー攻撃の増加に伴い、患者情報の漏洩や医療情報システムの停止など、深刻な被害が続出しています。2022年には、関西で急性期医療を提供する総合病院がランサムウェア攻撃を受け、電子カルテシステムが長期間利用停止となる事例が発生しました。また、2024年5月にも中国地方の精神科病院がサイバー攻撃を受け、電子カルテが利用できない状態となったため紙カルテに切り替えて診療体制を維持していることが報道されました。

ランサムウェア攻撃とは、感染したコンピュータ等に保存されているデータを暗号化、もしくはロックして使用できない状態にし、元に戻すことと引き換えに身代金を要求するもので、近年増加しているサイバー攻撃の一種です。

実際に、2023年に警察庁が公表した「令和4年の犯罪情勢」によると、2022年中に警察庁に報告されたランサムウェアによる被害件数は 230 件と、前年比で 57.5％増加しています。また、医療・福祉分野においても、ランサムウェアの被害件数は増加傾向にあることが報告されており、2022年には20件に上りました。

（参考：「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」（警察庁）https://www.npa.go.jp/bureau/cyber/pdf/20230406_2.pdf）

従来型セキュリティモデルの限界

サイバー攻撃事例が増加している中、医療機関ではセキュリティ対策を強化することが急務となっています。従来はネットワーク境界を防御し、内部への侵入を防ぐという考え方である「境界型セキュリティモデル」が広く採用されてきました。特に医療情報システムでは、この従来の境界型セキュリティモデルを基に、院内・外でネットワークを分離することが主流となり、現在でも「閉域網であるため安全である」と考えられることが少なくありません。

しかし、システムベンダーによるリモート保守の拡充や医療機器のIT化、オンライン資格確認・電子処方箋の導入、2025年に開始が予定されている電子カルテ情報共有サービスへの対応等、医療情報システムと外部ネットワークとが接続するケースは増加傾向にあります。一方で、ウイルス対策ソフトをすり抜けて攻撃を隠ぺいする手口や、検知が困難な攻撃手法が使われるなど、サイバー攻撃は巧妙化しており、外部との接続点で防御を固める境界型防御だけでは対処しきれなくなってきています。

実際、前述の急性期病院におけるランサムウェア攻撃では、VPN装置の脆弱性を悪用した攻撃者が病院内部のネットワークに侵入し、電子カルテを含む基幹システムの大部分が暗号化されました。全面復旧まで数ヶ月を要する事態となり、調査・復旧費用だけでも数億円、診療制限による逸失利益は十数億円に上る被害となったことが報告されています。

このような状況下で、内部ネットワークへの侵入は必ずしも防ぎきれないという前提に立ち、侵入をいかに早く検知して被害を最小限に抑えるか、という観点で対策を打つことが重要であるという、従来と異なる考え方が主流になりつつあります。情報資産にアクセスするものは全て信用せずに、その安全性を検証することでネットワーク全体を保護する、このセキュリティの考え方を「ゼロトラストセキュリティモデル」と呼びます。

ゼロトラストセキュリティモデルとは

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、ゼロトラストの5つの柱「Identity」「Devices」「Networks」「Applications & Workloads」「Data」を定義し、それぞれについてゼロトラスト成熟度モデルを公開しています。これら5つの柱は相互に関連しており、横断的に対策を行うことが重要なポイントの一つとされています。

• Identity：ユーザ、デバイス、アプリケーション等がシステムやデータなどの情報資源にアクセスするための身元を指し、正当な権利を持つかどうかを識別することで不正なアクセスを防止します。パスワードによる認証が広く普及していますが、セキュリティ強化を図るために、生体認証などのパスワードレス認証や多要素認証が利用するケースも増えています。
• Devices：セキュリティ確保のためには、パソコン、スマートフォン、タブレットなど、ネットワークに接続される全てのデバイスを可視化し、セキュリティポリシーの適用や脆弱性管理、アクセス制御などを適切に行う必要があります。管理ツールとしてEDR（Endpoint Detection and Response）などを用いることが可能です。
• Networks：システムやデバイスを接続する通信インフラを指します。ネットワークトラフィックを可視化し制御することで、脅威の侵入を防ぐこと、及び侵入された場合に迅速に検知することが可能になります。侵入を検知/防止するIDSやIPS、ネットワークを仮想化し集中管理することでセキュリティの向上を図る、SDN（Software Defined Networking）などの技術が開発されています。
• Applications & Workloads：導入・利用しているアプリケーションを指します。各アプリケーションに対する細かなアクセス制御を行うと共に、安全が確認されていないものを排除するなど、組織内のアプリケーションを継続的に管理することが重要です。
• Data：顧客情報（患者情報）、財務情報など組織が保有する情報資産です。守るべき情報資産の把握と分類による適切なアクセス制御、暗号化、DLP（Data Loss Prevention）による機密情報の漏洩リスク管理などへの取り組みが進んでいます。

（参考：Zero Trust Maturity Model. (April 2023). Cybersecurity and Infrastructure Security Agency Cybersecurity Division. Retrieved June 4, 2024, from https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf）

医療情報システムにおけるゼロトラストセキュリティ

ゼロトラストにおいては、考え得るリスクに対して複数の観点で横断的なセキュリティ対策を検討することが重要です。一例として、ランサムウェア被害の発生・拡大を防ぐには、サーバOSにおける「認証」により正当なユーザを確認すること、データへの「アクセス制御」やネットワークにおける「検知」により不要なシステムやデータへのアクセス防止することなどが必要になります。また、例えば、ソーシャルエンジニアリングのような人間心理の脆弱性を狙う物理世界のリスクに対しては、アプリケーション層における対応も有効と考えられます。

アプリケーション層での対応として一般的なID・パスワードによるログイン認証や、権限マスタによるアクセス制御は、既に多くの医療機関で実装されていると思います。ゼロトラストセキュリティは比較的新しい概念ですが、実際の取組み自体はこれまでの対応を踏襲できるものも実は多いものです。ただ、留意すべきは、「基本的に全て信用しない」という考え方であるため、「閉域網だから」「利用者が少ないから」等の理由で、アプリケーションやデバイス単位でセキュリティレベルに高低をつけるべきではないという点が挙げられます。一部のみ強固なセキュリティレベルを確立していても、同じネットワーク上に脆弱性が残っていると、そこを踏み台にして攻撃が広まる恐れがあるなど、全体のセキュリティレベルの低下に繋がるからです。

アプリケーション間のセキュリティレベルをある程度の水準に均質化する方法の一例として、SSOや多要素認証、そして近年注目されているFIDOなどの技術の活用が考えられます。

• SSO（Single Sign On）：複数システムの認証を一元化し、1度の認証で複数のサービス（電子カルテ、部門システム等）を利用可能とする仕組みを指し、利便性だけでなく安全性の向上にも寄与します。SSO対応システムが一部に留まり、ID・パスワードによる認証が残る場合は、不正ログイン等のリスク低減効果が弱い点には留意が必要です。
• 多要素認証：「知識情報（パスワード等）」「所持情報（IDカード等）」「生体情報（指紋・静紋等）」から複数を組み合わせて、本人認証の安全性を高める仕組みです。「医療情報システムの安全管理に関するガイドライン 第6.0版」では二要素での認証の実装を推奨しており、令和9年（2027年）時点で稼働しているシステムは原則として二要素認証が必須となります。認証機器やシステムが別途必要となることもあり、コストと利便性を考慮して対応方法を検討する必要があります。
• FIDO（Fast Identity Online）：パスワードに依存しない認証技術のひとつです。従来のパスワード認証は、ログイン時に入力したID・パスワード情報がクライアント端末（ユーザ側デバイス）と認証先サーバ間でやり取りされるため、通信経路上で盗聴され不正ログインに繋がるリスクがあります。一方FIDOは、パスワードの代わりに生体情報やハードウェアトークンなどを用いて認証を行いますが、正当なユーザであるか検証するための情報をサーバ側でなくクライアント側で管理します。例えば生体認証を用いる場合、指紋や顔などの生体情報はクライアント側で保持し、クライアント側でユーザ検証が完結します。その後、クライアントからサーバに対し検証結果を伝達し、サーバ側で認証を行うことでログインが可能となります。通信経路に生体情報が流れないため、盗聴による情報流出のリスクがほぼないことに加え、サーバが攻撃された場合の漏洩リスクも低くなります。このように、FIDOはクライアント側でのユーザ検証と、クライアント・サーバ間の認証を分離することで、高い安全性を実現しています。さらに、標準規格であるため、幅広いサービスで相互運用可能であるという利点もあります。

これらの技術は、必ずしも一つを選択して実装するのではなく、複数を組み合わせて医療機関ごとに最適なセキュリティ対策を具体化していくことが肝要です。また、実際の運用可能性の観点での検討も必要です。例えば、FIDOの医療機関への適用においては、次のような留意点があります。

• 外部のFIDO認証サービスを利用する場合、認証機器を外部ネットワークに接続する必要がある
• 各利用者が認証機器を携帯する必要があるため、紛失・盗難時の対策検討が必須である
• 個人スマートフォンを認証機器として利用する場合、利用ルールの策定などの運用面での検討が必須である

ゼロトラストセキュリティの導入効果

ゼロトラストセキュリティは、既に多くの企業で導入されています。医療業界でも検討や導入が進んでおり、導入により次のような効果が期待されています。

• 不正アクセスによる情報漏洩の防止
• サイバー攻撃による被害の拡大防止
• セキュリティ運用の負荷軽減

ただし、ゼロトラストセキュリティの導入には、技術的な知識が必要であることに加え、既存のシステムとの互換性や運用体制の変更なども考慮する必要があるため、専門的知見に基づいて適切な導入方法を検討することが重要です。デロイト トーマツ グループでは医療機関のサイバーセキュリティ対策の強化に向けたサービスも提供しています。ご関心がありましたら、ぜひお気軽にご相談ください。

執筆

デロイト トーマツ リスクアドバイザリー合同会社
ヘルスケア

※上記の部署・内容は、掲載日時点のものとなります。2024/6

関連サービス

ライフサイエンス・ヘルスケアに関する最新情報、解説記事、ナレッジ、サービス紹介は以下からお進みください。

ライフサイエンス・ヘルスケア：トップページ

■　ライフサイエンス

■　ヘルスケア

ヘルスケアメールマガジン

ヘルスケア関連のトピックに関するコラムや最新事例の報告、各種調査結果など、コンサルタントの視点を通した生の情報をお届けします。医療機関や自治体の健康福祉医療政策に関わる職員様、ヘルスケア関連事業に関心のある企業の皆様の課題解決に是非ご活用ください。(原則、毎月発行)

＞記事一覧

メールマガジン配信、配信メールマガジンの変更をご希望の方は、下記よりお申し込みください。

＞配信のお申し込み、配信メールマガジンの変更

お申し込みの際はメールマガジン利用規約、プライバシーポリシーをご一読ください。

＞メールマガジン利用規約
＞プライバシーポリシー