医療機関の関係者から、こんな声が聞こえてくることがあります。
- 「ニュースに出ているのは大きなところばかりだし、うちは関係ないでしょ」
- 「サイバー攻撃なんて、都会の話でしょ」
- 「うちは狙われる情報もないし、有名でもないから大丈夫」
忙しい現場からすれば、「今すぐ目の前の診療に関係しないこと」は、つい後回しにしたくなります。
限られた人員・予算の中で、まずは診療体制と設備投資を優先したい――これはごく自然な感覚です。
その結果として、情報セキュリティは
- 「お金も人もかけられない」
- 「最低限のウイルス対策ソフトだけ入れておけばいい」
という扱いになりがちです。
攻撃者は「楽に侵入できるところ」を探している
攻撃者の立場から見ると、少し違う景色が見えてきます。
最近のサイバー攻撃の多くは、インターネット上の無数のシステムを自動でスキャンし、「弱いところ」を機械的に探し出すやり方です。
攻撃者を泥棒に例えるならば、「守りの固い家を攻めるより、鍵のかかっていない家へ数多く侵入したほうが効率が良い」ということになります。
相手が大病院か、地方の中小病院かは関係なく、次のような「穴」が見つかれば標的になり得ます。
- インターネットにつながっているネットワーク機器
- ソフトウェアが古いまま更新されていないもの
- パスワードに初期パスワードや他でも使用しているパスワードが設定されたもの
近年のランサムウェア被害の多くは、VPN装置やリモートデスクトップ、遠隔保守回線などを経由した「リモート攻撃」によって始まっています。
こうした「外からの入口」が突破されると、その先にある内部サーバや端末にも、一気に攻撃が広がってしまいます。
自院の入口と管理状況を把握できているか
多くの医療機関では、次のような状況になっていることが少なくありません。
- どこにどんなVPN・リモート接続機器があるか、一覧にまとまっていない
- いつ誰が設定したのか分からない回線・機器が、そのまま使われ続けている
- 部門システム、医療機器メーカーが機器の裏でモバイル回線機器を接続している
- ソフトウェアやファームウェアの更新履歴が残っておらず、古いバージョンのまま
- パスワードや接続方法が、ベンダー任せ/担当者の記憶頼みになっている
- 何かおかしいと感じたとき、「まず誰に相談すればいいか」が職員に共有されていない
つまり、「どこに入口があり、どう守られているか」 を説明できない状態が、そのまま一番のリスクになっています。
入口の洗い出しと、相談できる体制づくり
すべてを一度に完璧にすることは難しいので、まずは次のポイントに絞って、小さな一歩を踏み出すことが重要です。
リモートアクセスポイントを洗い出し、台帳にまとめる
- VPN装置、RDP、遠隔保守回線、テレワーク用接続、クラウド管理画面などインターネット経由で院内に入れる可能性があるものをリスト化する
- 機器名・設置場所・利用目的・担当ベンダー・更新日などを、機器管理台帳として整理する
最新ソフトへの更新と、認証設定の見直しを行う
- メーカー推奨の最新バージョンへの更新状況を、ベンダーと一緒に確認する
- 使っていないリモート機能は停止する
- 推測されやすいパスワードをやめ、可能なところは多要素認証を有効にする
※内部サーバや端末についても、本来は同様に台帳化・更新していくことが望ましいですが、
まずは外から直接狙われる機器から優先して進めるのが現実的です。
院内の「窓口」と「外部の相談先」を決めておく
- 情報セキュリティ担当(兼務で構わない)を決め、職員に周知する
- 何か異常を感じたときに連絡すべき院内窓口と、ベンダー・専門機関などの外部相談先リストを整備しておく
「うちのような病院は狙われない」 ではなく、
「対策にコストをかけられないからこそ、外からの入口だけはしっかり押さえる」。
事実を正しく認識し、自院の課題を見える化し、この3つの対応から始めることが、小さな医療機関の現実的なセキュリティ向上につながります。
参考
厚生労働省:「医療機関向けセキュリティ教育支援ポータルサイト」
E-Learning 令和6年度コンテンツ
- 初学者等向け研修
- セキュリティの重要性
- リスクの理解と対策
- 経営者・管理層向け
- IT-BCPコース 大規模編/中小規模編
E-Learning 令和7年度コンテンツ
- 経営者・管理層向け
- ITガバナンスコース 経営者はどこまでセキュリティを理解するべきか
- システム・セキュリティ管理者向け
- 岡山県精神科医療センター ランサムウェア事案調査報告書 読み解き 等
