コロナ禍で増えた医療機関へのサイバー攻撃 患者の生死にも関わる事態に

2

2021年12月06日 08:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真厚生労働省「医療分野のサイバーセキュリティ対策について」
厚生労働省「医療分野のサイバーセキュリティ対策について」

 米国のIT企業VMwareの日本法人は2020年12月、日本企業のCIOやCTO、CISO(Chief Information Security Officer、最高情報セキュリティ責任者)251人を対象にサイバー攻撃に関するアンケートを実施した。



【その他の画像】



 それによると、回答者の86%が、新型コロナウイルス感染防止策として在宅勤務が増えたことで、サイバー攻撃も増加したと答えている。在宅勤務によって、外部からネットワーク経由で企業内にアクセスする端末と人間が増えれば、それだけ攻撃可能なポイントが増えることになる。従ってこのアンケート結果は、予想通りの内容といえるだろう。



 実はこれと同じ傾向が、医療現場でも見られるようになっている。今回のパンデミックが契機になり、医療機関が遠隔医療などのデジタル技術を導入し、新たな取り組みを進める例が増えた結果、彼らもサイバー攻撃を受けるようになっているのだ。そしてそれは、企業に対する攻撃と同じか、それ以上に深刻な問題を生み出している。



●サイバー攻撃にさらされる医療機関



 情報セキュリティに関する研究・教育活動を行う米Ponemon Instituteは、米国の医療機関597組織を対象に行った、サイバーセキュリティに関する調査レポートを発表。



 それによれば、一般の企業と同様、COVID-19の発生後に医療機関をターゲットとしたサイバー攻撃が増加している傾向を確認できたという。ランサムウェアで見ると、調査対象となった医療機関の67%がランサムウェア攻撃の被害に遭っており、33%は2回以上攻撃があったと結果が出ている。



 問題はその影響だ。アンケートに答えた機関の22%が、ランサムウェアによる攻撃を受けた後で、患者の死亡率が上昇したと答えている。ランサムウェアはその名前が示すように、攻撃対象となった端末に何らかの悪影響(データを消去するなど)を引き起こすと脅し、それをしない代わりに身代金(ランサム)を払えと迫る攻撃手法だ。



 従って、金銭的な被害がランサムウェアにおける主要な懸念点となるのだが、その対応に失敗すれば、脅しを実行に移す場合がある。例えば企業の場合なら、重要なデータを消去し、業務に支障を与えるだろう。それも十分に深刻な問題だが、医療機関の場合、患者の生死にまで関わることになる。



 具体的には、患者の入院期間が長くなったり、検査の遅れから様態の悪化につながったり、ネットワークが使えなくなり一部のサービス提供が不可能になったりなどの事例があったそうだ。さらに処置が困難になった結果、他の病院へ患者を移送したケースもあり、サイバー攻撃を受けなかった医療機関にも影響が及んでいる。



 医療におけるサイバー攻撃というと、例えば医療機器をハッキングして機能不全に陥らせ、その機器に頼っている患者の命を脅かすなどのイメージが頭に浮かぶかもしれない。確かにそういったリスクにも気を配らなければならないが、機器自体へのハッキングは、医療メーカー側で積極的な対応が進んでいる。



 この種のリスクを指摘する声には、現実の医療現場ではありえない条件(機器に極めて近い位置まで近づいて攻撃を仕掛けるなど)でハッキングに成功した少数の例を、クローズアップして言いはやしているものも少なくない。「スパイ映画さながらの仕組みでターゲットを暗殺する」などのケースはとてもレアなわけだ。



 現実は、マルウェアの矛先が医療機関に向かうことで、多くの人々の命がリスクにさらされているのである。



●不足するセキュリティ担当者



 実際に、日本でも医療機関におけるランサムウェアの被害が発生している。2021年10月、徳島県つるぎ町にある町立半田病院に対してランサムウェア攻撃が行われ、電子カルテなどのシステムがダウン。朝日新聞の報道によれば、8万5000人分の患者データも失われ、バックアップまでが被害を受けた。



 同病院は身代金の支払いを拒否し(ランサムウェアへの対応として正しい判断だ)、業務を必要最低限なものに限定。救急や新規患者の受け入れ停止や、手術の延期などの対応を取った。



 並行してシステムの再構築を進めており、22年1月4日に全ての診察を再開すると発表している。脅しに屈せず、金銭的な被害は回避したが、実に2カ月以上にわたって治療行為に影響が出たわけだ。



 こうした現実に起こりうる危機に対し、医療機関も企業と同様のセキュリティ対策を進めるようになっているが、前述の米Ponemon Instituteのアンケートでは、回答者の61%が「ランサムウェアと戦う自信がない」と答えている。この値は、COVID-19発生以前の結果である55%から増加しており、アンケート回答者の主観であるとはいえ、事態が悪化しつつある状況が読み取れる。



 このアンケートでも指摘しているが、病院でセキュリティ対策が進まない原因の一つに、予算や人材不足がある。医療業務の急速なデジタル化に対して、それを構築・管理し、さらにセキュリティを守る知識を持つ体制・スタッフの補充が追い付いていないのである。



 日本医師会総合政策研究機構が実施し、20年6月に発表したサイバーセキュリティ実態調査によれば「サイバーセキュリティ事案への対策予算」の有無について、回答した医療機関のうち「ある」と答えたのは21.1%、「ない」が 53.9%、「わからない」が 25.0%だった。実に半数以上が対策予算を講じていないわけだ。



 「サイバーセキュリティ対策の組織体制」の有無については「専任の担当部門がある」が15.6%、「担当部門はないが、専任の担当者がいる」が14.1%、「専任の担当者はいないが、兼務の担当者がいる」が31.3%、「担当はいない」が 32.8%、「わからない」が6.3%という結果となっている。



 ただ当然ながら、病床数の多い、つまり規模の大きい医療機関ほど体制を整備している状況にあり、病床数200以上の医療機関では「専任の担当部門がある」が38.9%にまで上昇している。とはいえ、企業ではサイバーセキュリティの専任部門・担当者を置くことは常識であり、医療機関の場合は大規模病院でも4割弱しか整備していないことを考えると、まだまだ不十分であると言わざるを得ないだろう。



 さらに同調査では、サイバーセキュリティ対策への不安についても尋ねており、回答は上位から「サイバーセキュリティ対策を学べる場所がない」と「現場担当者の危機意識が薄い」が同率で16.6%、次いで「医療機関にセキュリティ対策を担える人材がいない」が15.6%となっている。



 企業のセキュリティ対策においても、必要な知識を備えた専門人材が不足し、募集をかけても応募が集まらないことがさまざまな調査から明らかになっているが、医療現場も同様なわけだ。



●求められる注意喚起



 医療機関のセキュリティ対策は遅れており、攻撃者はより簡単なターゲットを狙うことを考えると、これから医療機関に対するサイバー攻撃はさらに増加するとの予測もある。加えてCOVID-19変異株の登場により、パンデミック終息の気配が見えないことを考えると、今後も感染対策としての各種デジタル技術の導入が進むだろう。



 そうなれば潜在的な脆弱性はますます拡大し、その対策として専門人材を確保する必要性はさらに高まる。こうした状況に対し、厚生労働省では関連ガイドラインの「医療分野のサイバーセキュリティ対策について」を発表するなど、政府や一般企業がさまざまな支援・対策に乗り出している。



 しかし気になるのは、この問題に対する関心の低さだ。先ほど紹介したように、日本医師会総合政策研究機構による同調査では、サイバーセキュリティ対策への不安として「現場担当者の危機意識が薄い」が同率1位となっている。必要性を認識していなければ、そもそもセキュリティ対策に取り組む時間や予算を確保する動きは生まれないだろう。



 米国のセキュリティ企業Armisが実施したアンケートによれば、サイバー攻撃の影響を被る患者たち、すなわち一般市民もこの問題を認識していないと結果が出ている。調査対象となった一般市民の60%以上が、過去2年間に医療現場で発生したサイバー攻撃について聞いたことがないと答えているのだ。



 確かに私たちが、「あの病院はセキュリティ対策がしっかりしていないから行かない」などの判断を下すようになるとは考えづらいが、それでも関心を持たなければ、患者の側からセキュリティを求めたり、その確立に協力したりする動きは生まれない。



 前述の半田病院の事件については、被害規模が大きかったこともあってか、大手マスコミも盛んに取り上げている。そうした報道から世論が高まり、国や自治体、一般企業による医療現場への支援を後押ししたり、医療機関の行動を促したりするようになることを期待したい。


このニュースに関するつぶやき

  • その他 電子カルテ等情報処理が進んだ結果、このようなリスクにも備えなきゃならない。自分のいる民間検査会社も同様なのでわざわざ全社教育対象にする程
    • イイネ!3
    • コメント 0件

つぶやき一覧へ(1件)

ランキングIT・インターネット

前日のランキングへ

ニュース設定