医療情報システムにとって、ランサムウェアは脅威です。ランサムウェアの被害は世界的に増えており、中でも特に病院や医療機関が標的にされやすいというのは、みなさんご存知でしょう。防御の隙をついてネットワークに侵入し、電子カルテなどのシステムを使用できない状態にするのが、ランサムウェアの手口です。
そんな中、厚生労働省の「医療情報システムの安全管理に関するガイドライン」が更新されました。最新の6.0版では、ランサムウェアの被害に対応する具体的な内容が盛り込まれています。そこでこの記事では、新しいガイドラインに沿って、ランサムウェアの攻撃を受けた際にとるべき行動やシステム運用について解説していきます。これを機に、医療情報システムのランサムウェア対策を見直してみませんか。
ランサムウェアの攻撃を受けた時にとるべき行動
まずは、ランサムウェアの被害に遭ったらどうすべきなのかを整理しておきましょう。
発覚時の緊急対応
医療情報システムガイドラインでは、ランサムウェアなどのサイバー攻撃を受けた際には以下の対応を行うよう促しています。
- 攻撃を受けたサーバ等の遮断、外部ネットワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
これらは、ランサムウェアの被害を拡大させないための対応です。そしてそれはすなわち、電子カルテ等が使えなくなり、病院の業務が停止してしまうことを意味します。病院がランサムウェアの被害に遭った多くの事例では、システムを停止してから完全復旧させるまでに数ヶ月という長い期間を要しています。
復旧に向けての対応
病院の業務が停止するということは、患者の健康に被害を及ぼすのはもちろんのこと、病院の売上にも大きな影響を与えます。そのためガイドラインでは、以下の見解を示しています。
医療機関においては、重大な障害により医療提供体制に支障が生じた場合であっても、診療の継続や早期に業務を再開することが求められる。バックアップに関しては、全ての情報をバックアップから復元するのではなく、ある程度のリスクを許容することで運用が容易になり、確実に対応することが可能になることも多い。
つまり、システムを完全に復旧させることよりも、ある程度の不備があったとしても診療を再開させることを優先すべきであるということです。Veeamでも、以前から早急に再稼働させることを第一に考えたバックアップシステムを提供しています。
さらに、ガイドラインでは次のようにも述べられています。
診療のために直ちに必要な情報をあらかじめ十分に検討し、確実に運用できるバックアップを確保しておくことが必要である。
病院を含む多くの組織では、たとえバックアップをとっていたとしても、復元を想定したものではないため完全でないことがほとんどです。多くの病院で長期にわたる業務停止に追い込まれているのも、バックアップが完全でないことが原因です。
Veeamが提供しているのは、復元を想定したバックアップです。システム全体を感染前の良好な状態に戻し、オペレーションを迅速に復旧できるように作られているため、たとえランサムウェアに攻撃されても短いダウンタイムで業務を再開することができます。確実にバックアップを確保できるよう、状況に応じてボリュームを大きくしたり小さくしたりできるのはもちろんのこと、バックアップ、レプリケーション、CDP、ストレージアレイとの連携なども自在に行えるようになっているので、どのようなシステムにも対応可能です。
バックアップの正しい管理方法
医療情報システムガイドラインの中には、ランサムウェア攻撃への備えとしてのバックアップの管理についても書かれています。
バックアップとは
医療情報システムにおけるバックアップには、大きく分けると次の2種類があります。
- システムバックアップ
- データバックアップ
システムバックアップ
システムバックアップとは、特定のデータだけでなく、OSやシステム全体のコピーを保存しておくことをいいます。その目的は、有事にシステムが稼働しなくなった場合に、システムごと復旧させることにあります。
データバックアップ
データバックアップとは、特定のデータだけを保存しておくことをいいます。その目的は、何らかの理由でデータが消失した時に復元させることにあります。
ランサムウェア対策としてバックアップをとる場合は、目的に応じた形で保存しておくことが重要です。
バックアップの確保
医療情報システムの安全管理に関するガイドライン 6.0版では、バックアップを以下の要領で確保するように伝えられています。
- 重要なファイルは数世代バックアップを複数の方式で確保する。
- その一部は不正ソフトウェアの混入による影響が波及しない手段で管理する。
- バックアップからの重要なファイルの復元手順を整備する。
ランサムウェア対策としてバックアップをとるなら、最新のものだけでなく、数世代前のものまでとっておくことが重要です。なぜなら、バックアップ自体が感染している場合に、感染していない世代まで遡って使用する必要があるからです。
Veeamは、3-2-1-1-0というルールに沿ったバックアップを推奨しています。一般的には3-2-1というルールがありますが、Veeamではさらに2つ追加して、3-2-1-1-0ルールとしています。
3 |
バックアップ自体がランサムウェアに感染している場合に備え、安全なものを探して復旧作業を行えるよう、少なくとも3世代分は確保する。 |
2 |
バックアップ媒体の物理的な破損などに備え、少なくとも2種類以上の媒体にバックアップをとる。 |
1 |
災害時に被害から免れるよう、少なくとも1つは他のバックアップから離れた場所に保管する。 |
1 |
(Veeamが提唱)少なくとも1つは、ランサムウェアが侵入できないようオフラインの場所に置くか、または書き換えできない形で確保する。 |
0 |
(Veeamが提唱)バックアップの復元テストでエラーが1つも出ない状態で保管する。 |
バックアップの復元
医療情報システムの安全管理に関するガイドライン 6.0版では、バックアップを復元する際の危険性にも言及しています。
サイバー攻撃による情報セキュリティインシデントが発生した際、数世代前までのバックアップデータは既に不正ソフトウェアが混入による影響が及んでいる可能性が高く、不用意にバックアップデータから復旧することで被害を繰り返し、場合によっては被害を拡大することになりかねない。不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCP として定めておくとともに、サイバー攻撃を想定した 対処手順が適切に機能することを訓練等により確認することなども重要である。
ランサムウェアの攻撃者は、被害拡大を狙ってバックアップを探し出し、侵入します。システム復旧のために確保したバックアップがランサムウェアに侵されてしまうということは、そのまま復旧してしまうと、さらに被害が拡大するおそれがあるということです。
Veeamでは、バックアップを復元する際に必ずデータをスキャンし、感染の有無を確認しています。また、万が一の災害時に備えてランサムウェアの攻撃を受けた場合の復旧計画を作成してテストを行い、どの程度の速さで復旧できるかも監査しています。医療情報システムガイドラインに沿って正しく安全に対応していますので、ぜひ安心してお任せください。
医療機関において迅速で信頼性の高い復元に不可欠な7つの機能
Veeamは、ランサムウェアの攻撃を受けても数分で確実に回復できるよう、特に次の7つの機能を用意しています。
- 広範かつ拡張可能な保護プラットフォーム
- 自動的な検証による確実なバックアップ
- 回復力のあるバックアップー物理的に隔離され、書き換え不能
- 不変性は出発点にすぎない
- データのインスタントリカバリ
- 安全なデータ復元
- 復元の自動化
詳しく解説した資料を以下のページで無料ダウンロードできますので、今後のランサムウェア対策にお役立てください。
医療情報システムの安全管理に関するガイドライン6.0版についてのアップデートにつきましては以下のウェビナーをご覧ください
病院をランサムウェアの被害から守るための対策まとめ
この記事では、医療情報システムの安全管理に関するガイドライン6.0版の内容を基に、ランサムウェアの被害に遭った場合の対応や備えについて解説しました。
- ランサムウェアの攻撃を受けた時にとるべき行動
- バックアップの正しい管理方法
- 医療機関において迅速で信頼性の高い復元に不可欠な7つの機能
ランサムウェアの手口はどんどん巧妙になっています。完全に防ぐのは難しいと考え、侵入された時の備えを十分にしておくことが、被害を最小限に食い止める最善の対策です。医療情報システムの安全管理に関するガイドライン6.0版を参考に、システムの見直しに取り組みませんか。