医療機関を標的としたサイバー攻撃が全国的に増加し、診療の停止や電子カルテの利用不能、患者対応の遅延など、社会インフラとしての医療提供に直接影響する事例が相次いでいる。都内の病院で警察による対策講演が行われた背景には、攻撃が「特殊な大病院だけの問題」ではなく、地域の中小規模施設や関連事業者まで含めて広く狙われているという危機感がある。
本稿では、医療分野の業務特性を踏まえつつ、攻撃者が医療機関を狙う理由、被害が起きる典型パターン、そして現場で実装可能な優先度の高い対策を整理する。セキュリティはIT部門だけの仕事ではない。救急・外来・病棟・検査・薬剤・事務といった部門横断の「運用設計」として捉えることが、被害の最小化と早期復旧の鍵となる。
医療機関が狙われる理由:停止させれば支払うという誤った前提
医療機関が攻撃者にとって魅力的なのは、業務停止の許容度が極めて低いからだ。電子カルテや画像システム、検体検査、会計、予約、院内ネットワークが止まれば、診療継続に直結する。攻撃者はこの特性を利用し、「復旧を急ぐほど身代金を支払いがち」という見立てでランサムウェアを仕掛ける。
また、医療データは個人情報の中でもセンシティブで、氏名・住所・保険情報に加え、病歴・検査結果・処方歴などが含まれる。窃取して二重恐喝(暗号化に加え、情報公開を脅す)に転用できるため、攻撃者にとって収益性が高い。さらに、医療現場には医療機器、古いOS、部門ごとに異なるシステム、外部委託先との接続など、攻撃面が広がりやすい構造的要因がある。
典型的な侵入経路:メール、VPN、委託先、そして人
医療機関で多い侵入経路は大きく4つに整理できる。
フィッシングとマルウェア添付メール
取引先を装った請求書やFAX受領通知、患者関連の連絡を偽装したメールが入口となる。添付ファイルやリンクから認証情報が盗まれ、そのまま院内システムへ横展開される。
VPN・リモートアクセスの脆弱性と認証不備
テレワークや外部保守のためのVPNが、パッチ未適用、弱いパスワード、二要素認証未導入などの状態で放置されると、侵入を許しやすい。攻撃者は盗んだID・パスワードを使い、正規利用者として静かに潜伏する。
委託先・サプライチェーン経由の侵害
システム保守、健診システム、請求関連、給食・清掃など、病院は多くの外部事業者と接続する。委託先側の端末が侵害され、保守用アカウントや接続経路を通じて病院に波及するケースもある。
権限管理の甘さと横展開
侵入そのものよりも、侵入後に管理者権限まで奪われ、ファイルサーバやバックアップ領域まで暗号化される段階で被害が決定的になる。共通アカウントの使い回し、不要な管理者権限、部門間のネットワーク分離不足が、横展開を容易にする。
被害の本質は「暗号化」ではなく「業務停止」
医療機関におけるサイバー被害は、単なるIT障害ではない。救急受入制限、手術延期、検査遅延、処方や投薬ミスのリスク増大、紹介・逆紹介の停滞など、患者安全に直結する。さらに、紙運用への切替は可能でも、様式の準備、指示系統、保管、後日入力、監査対応まで含めると負荷は大きい。
攻撃を完全に防ぐことは現実的ではない。重要なのは、侵入を前提に「止まらない設計」と「すぐ戻せる設計」をどこまで用意できているかである。
医療機関が優先すべき実践策:まずはここから
限られた予算・人員でも効果が出やすい対策を、優先順位の高い順に整理する。
多要素認証の徹底とリモート接続の棚卸し
VPN、リモートデスクトップ、クラウドメール、院内の重要システム管理画面など、外部から到達できる入口をすべて洗い出す。原則として多要素認証を必須化し、使われていないアカウントや保守用の恒久IDを廃止・短期化する。緊急時の例外運用は、申請・承認・期限・ログ監査のセットで設計する。
バックアップの再設計:オフラインと復旧訓練
ランサムウェア対策の中核はバックアップだが、「取得している」だけでは不十分である。攻撃者はバックアップを先に破壊するため、ネットワークから切り離したオフライン媒体、または改ざん耐性のある保管方式を採用する必要がある。加えて、復旧手順書を作るだけでなく、実際にリストアできるかの訓練を行い、復旧時間目標を現実の業務に合わせて見直す。
ネットワーク分離と権限最小化
電子カルテ、画像、検査、医療機器、事務系、来客Wi-Fiなどを論理的に分離し、不要な通信を遮断する。Active Directoryなどの基盤権限を持つ管理者アカウントは通常業務で使わず、特権IDは専用端末・専用手順でのみ使用する。部門横断の共有フォルダは権限を見直し、書き込み権限を必要最小限にする。
パッチ管理と資産管理:古い端末を「見える化」する
医療機器や部門システムには更新が難しい端末が残りやすい。重要なのは、まず台帳を整備し、OS・ソフトのバージョン、保守期限、ネットワーク接続状況を把握することだ。更新できない端末は、隔離ネットワーク、通信制限、仮想パッチ(侵入防御)などの代替策を取る。
ログ監視と初動:早期発見で被害を縮小する
侵入から暗号化までに時間差があるケースも多い。認証失敗の急増、深夜の大量データ転送、管理者権限の付与、未知の端末接続など、異常の兆候を検知できれば封じ込めが間に合う可能性が上がる。院内で難しい場合は外部の監視サービスを活用し、通知を受けたときの連絡網と意思決定を明確にしておく。
インシデント対応は「医療継続計画」と一体で考える
医療機関では、サイバー対応手順がIT部門のマニュアルに閉じがちだが、本来は診療継続計画として整合していなければならない。たとえば、電子カルテ停止時の紙運用の様式、検査結果の伝達方法、薬剤部の照合手順、患者説明の文面、紹介状・診療情報提供の代替手段、復旧後のデータ整合確認などは現場部門の参加なしに決められない。
初動で重要なのは、感染拡大を止める封じ込め(ネットワーク遮断、該当端末隔離、アカウント停止)と、証拠保全(ログ・ディスク保全)を両立することだ。混乱時ほど「とりあえず再起動」「勝手に復旧を試す」が起きやすいが、原因究明と再発防止、被害範囲の特定を難しくする。指揮系統を一本化し、判断権限を明確にしておく必要がある。
警察・外部機関との連携:事前準備が被害対応の差になる
医療機関のサイバー被害は、個人情報保護や医療法上の観点だけでなく、場合によっては犯罪被害としての対応が求められる。連絡先の整理、通報判断の基準、外部フォレンジックの手配、ベンダーとの保守契約範囲、サイバー保険の適用条件などを平時に確認しておくことで、発生時の時間ロスを減らせる。
また、委託先との契約において、アクセス権限の範囲、ログ提供、インシデント時の報告期限、再委託の制限、脆弱性対応の責任分界を明確にすることは、サプライチェーン経由の被害抑止に直結する。
医療現場で根付かせるための現実的な進め方
セキュリティ強化は「理想の完成形」を一気に目指すと頓挫する。現実的には、外部公開資産の把握、多要素認証、バックアップ再設計、権限最小化、ネットワーク分離という順で、効果が大きい領域から段階的に進めたい。同時に、年に数回の訓練(机上訓練と部分的な復旧訓練)を計画し、医療継続の観点で改善点を回すことが重要だ。
サイバー攻撃は「いつか起きる」ではなく「いつでも起きうる」事象になっている。患者安全と地域医療を守るために、技術対策と運用対策をセットで実装し、止まらない医療提供体制を平時から作り込むことが求められる。