なぜ医療機関が狙われるのか
近年、病院を標的としたランサムウェア攻撃が急増しています。医療機関が攻撃者にとって「魅力的なターゲット」である理由は明確です。
- 診療を止められない:病院は業務停止が許されないため、身代金を支払う可能性が高い
- 医療データの価値:患者の個人情報・診療情報はダークウェブで高値で取引される
- IT投資の不足:医療機関のIT予算は相対的に低く、セキュリティ対策が後手に回りがち
- レガシーシステムの多さ:サポート切れOSや古い電子カルテシステムが残存している
実際に国内でも複数の病院がランサムウェア被害に遭い、電子カルテが使用不能になり数ヶ月にわたって診療機能が低下する事態が発生しています。
厚労省ガイドラインの概要
3省2ガイドラインとは
医療機関のIT・セキュリティに関する主要なガイドラインは「3省2ガイドライン」と総称されます。
| ガイドライン | 策定省庁 | 対象 |
|---|---|---|
| 医療情報システムの安全管理に関するガイドライン | 厚生労働省 | 医療機関・薬局等の管理者 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン | 総務省・経済産業省 | 医療情報を扱うITベンダー・クラウド事業者 |
厚労省ガイドラインの主な要求事項
厚生労働省の「医療情報システムの安全管理に関するガイドライン」(第6.0版)は、医療機関がITシステムを安全に運用するための組織的・技術的・物理的な安全管理措置を網羅的に規定しています。
- 管理体制の整備:情報セキュリティ責任者の設置、ポリシーの策定
- アクセス制御:利用者の識別・認証、権限管理
- ネットワークセキュリティ:外部接続の管理、通信の暗号化
- バックアップ:診療データの定期バックアップ、復旧手順の整備
- インシデント対応:報告体制、初動対応手順、事業継続計画
- 外部委託先の管理:クラウドサービス利用時のセキュリティ要件
押さえるべき5つの対策領域
① ネットワーク分離
電子カルテ系ネットワークとインターネット接続系ネットワークを論理的または物理的に分離します。VLANやファイアウォールによるセグメンテーションが基本です。ランサムウェアの横展開を防ぐ最も効果的な対策です。
② アクセス制御と認証強化
電子カルテへのアクセスには個人認証を必須とし、共有アカウントの使用を廃止します。可能な限りMFAを導入し、特に管理者アカウント・VPNアクセスには必須とします。
③ バックアップの3-2-1ルール
診療データのバックアップは「3つのコピー、2種類のメディア、1つはオフサイト」の3-2-1ルールに従います。ランサムウェア対策として、オフラインバックアップ(イミュータブルバックアップ)の導入が強く推奨されます。
④ 端末のセキュリティ管理
PC・タブレットへのEDR(Endpoint Detection and Response)導入、OSの自動更新、USBデバイスの利用制限、暗号化の必須化が求められます。
⑤ 職員教育とインシデント対応訓練
フィッシングメールの訓練、不審メールの報告手順の周知、ランサムウェア感染時の初動対応訓練を定期的に実施します。
Microsoft 365による実装例
| ガイドライン要件 | M365での実装 |
|---|---|
| 利用者の識別・認証 | Entra ID MFA + 条件付きアクセス |
| 端末のセキュリティ管理 | Intune コンプライアンスポリシー + BitLocker |
| 不正プログラム対策 | Defender for Endpoint(EDR) |
| メールの脅威対策 | Defender for Office 365(Safe Attachments / Links) |
| 監査ログの記録・保存 | Microsoft 365 統合監査ログ |
| データ損失防止 | Microsoft Purview DLP |
BTNコンサルティングの支援
ガイドライン準拠アセスメント
厚労省ガイドラインの要求事項に照らして、現在のIT環境のギャップを評価します。優先的に対応すべき項目をロードマップとして提示します。
ネットワーク分離設計
電子カルテ系とインターネット系のネットワーク分離を設計・実装します。既存のネットワーク構成を維持しつつ、段階的にセグメンテーションを進めます。
Microsoft 365セキュリティの導入
MFA、条件付きアクセス、Intune、Defender for Endpointの設計・導入を一括で対応。ガイドライン要件をM365の機能で技術的に実装します。
まとめ
医療機関はランサムウェアの主要なターゲットであり、厚労省ガイドラインへの準拠は法的にも実務的にも必須です。ネットワーク分離、認証強化、バックアップ、EDR、職員教育の5領域を重点的に対策し、Microsoft 365の標準機能を最大限に活用することで、限られたIT予算でもガイドライン準拠のセキュリティ水準を実現できます。