2024.11.26
セキュリティ担当者への「現状把握」と「積極的諦め」のススメ “サイバーリスク=経営リスク”の時代の処方箋
提供:株式会社網屋
リンクをコピー
記事をブックマーク
須藤泰史氏:(ランサムウェア攻撃から)復旧までのプロセスなんですが、先ほど言いましたように小児科・産科が復活したあと、放射線科は、近隣の開業医の先生から「CTやMRIを撮ってほしい」というオーダーを受けることを復活させました。
CT・MRIのサーバーの中にはウイルスがもういないと確定ができた段階から、そういったことも復活させていきました。レセプトは作れず請求できない、診療報酬請求が入らない、お金が入らない状態で診療を続けていました。
ハッカー攻撃に対する対応は、時効になるまで、今も徳島県警のサイバー犯罪対策室が引き続き捜査をしています。犯人側からの具体的な要求はないんですね。
サイバー攻撃を受けたルートについては捜査中と書いていますが、我々の電子カルテに入るためのIDとパスワードが犯人に漏えいしていることがダークサイトで判明したんですね。つまり、VPNのある会社のソフトが脆弱で、パッチを当ててバージョンアップしておかないといけないと言われていたものが、できていなかったんです。
脆弱なVPNを使っている一覧がダークサイトにあって、そこに「handa」という名前を入れて検索すると、我々の電子カルテに入れるIDとパスワードが出ていたということです。
復旧までのプロセスですが、感染したサーバーとか、直すものをまずは専門の業者に委託しました。それから先ほど「1月4日に電子カルテ復活」と言いましたが、レンタルサーバーで同じ電子カルテのベンターが再構築してくれました。
電子カルテから取り出していた医事会計のデータとか、新型コロナワクチンの接種は「かかりつけの患者さんに打ちましょう」ということになっていましたので、患者さんのお名前などのデータを抜いてたんです。それを戻すこともできるようになりました。
ですから、電子カルテのベンダーが立ち上げたコンピューターには、何の情報もないというよりかは、過去にある程度抜いていた情報を戻して使えることが利点でした。
もちろん、我々の電子カルテがこんなふうに被害にあったので、今のベンダーではなくてまったく別のベンダーでやろうということも考えたんです。
ある大手のベンダーに問い合わせしたところ、半田病院が公開したことで、「その大手のベンダーが入れている電子カルテは大丈夫なのか?」ということで、そこのSEがあちこちの病院に出払っているので、半田病院用にカスタマイズする人員がいないと。「6ヶ月はかかりますよ」と言われたので、早々にこれは断念しました。
実際に復旧したかたちはこれです。修復に送っていたシステムからバックアップサーバーが返ってきたんですが、我々は2011年に電子カルテを入れて、2018年にバージョンアップしたんですね。その時までのフルバックアップだけは復活しており、同じ電子カルテなのですぐに戻したんです。
それから、電子カルテから抜いていたいろんなデータを戻して、「過去の記録は全てないが、少しでもこのデータでやっていこう」と準備していた時に、やっと12月28日に残りの修復に送っていたシステムが返ってきたんですね。(スライドの)上が全部ちゃんと修復して動けば下は必要なかったんですが、実際に動かしてみると動かなかったんです。
けれども、同じ電子カルテシステムだったので新しく構築したシステムで読み込めて、この中(電子カルテ・データベース)に2018年以降のデータも残っていましたので、過去のデータは全て復活し、それで現在は稼働できています。
機械自体は壊れていなかったので、全部をクリーンにして再起動して、今はこちら(レンタルサーバーを)は全部お返しして、このシステムでやっています。まだ外とはつながってないんですが、今後は外とつなげる予定です。
1月4日の通常診療再開以降の対応なんですけど、とにかく紙で書いていた記録を電子カルテにもう一度入力していきました。10月分は31日だけだったので、すぐにそれを入力して、1月10日に10月分の診療報酬を請求。本来であれば11月の初めに請求するものをやっと請求できたんですね。
11月から12月分の紙カルテは約5,000冊ありました。これを1月4日以降、電子カルテに入力する。本当に大変な作業でした。11月分はなんとか2月10日、12月分は3月10日に請求しました。この作業が大変だったので、1月から3月は4月10日にまとめて請求して、5月20日に3ヶ月分入金がありました。
実際の様子です。(平常時は)通常のカウンターで、料金や処方せんを全部渡したりしていたので簡単に済むんですが、とてもここでは間に合わないということでテーブルを並べました。その後ろには、内科だったら内科のカルテを置いて、今日はどなたが来たのか、なければカルテを作るという状況でした。
泌尿器科もこれだけのカルテがありました。全部で5,000冊です。復活した時に何をやったかというと、診療、処方、処置したことを全部その日に戻って電子カルテに入力していきました。本当に大変な作業でした。
各部門の被害状況調査なんですが、たくさん書いてるので、また資料をご覧になっていただきたいと思います。「紙カルテの記録に慣れてない」というのは、20代、30代の電子カルテで育ってる世代はまったく紙カルテを知らないんですね。
それから診断が確定した日がわからないので、生命保険の診断書も書けない。これは本当に患者さんにご迷惑をかけました。検査、レントゲン、いろんなものが大変だったんですね。内容を書いていますので、またご覧になってください。
予約も電子カルテで動いていたので、今日は誰が来るのか、その先に予約を入れても何人が入っているのかがわからない状態で診療を続けておりました。それから健診部門も電子カルテとつながっていましたので、健診予定であった方々のところへの連絡も本当に苦労いたしました。
患者さんの対応で一番困りごとを聞いてくれたとこ、あるいはそれに対して努力してくれたのが患者さんのサポート室なんですが、診療情報提供書、紹介状を紹介先から戻してもらえれば、紹介状を作った時までの患者さんの情報がわかるわけなので、紹介先の病院から「FAXで戻してください」なんていうのもお願いしたんです。
もちろん当院にも控えがあったんですが、ファイリングしておらず、簡単に見られない状況だったんですね。そこでこんなタグをつけて、「誰々さんが来た」「その方の診療情報提供書があるか」ということを簡単に見つけられるように作り直してくれました。
これもあとで申しますが、簡易バックアップシステムなんかを作っていれば、簡単に検索できたんですね。これは今後、BCPとして考えています。
医療機関はヒヤリハットやインシデント、アクシデントの報告会をやってるんですが、こんなサイバー攻撃を受けた時も報告会をやりました。23件中19件が紙カルテ運用のミスですね。
糊で検査結果がちゃんと貼れていなかったとか、紙カルテを立てるボックスの中に紙カルテがクシャッと入っていたり、紙カルテをそのままお渡しするわけにはいかないのでプラスチックのケースで患者さんにお渡ししていたんですが、ケースの中に別のものが入っていたことがありました。
先ほどクロノロのところでお話ししましたが、全部の記録を有識者の先生に判断してもらって、今後どうすべきかを評価していただくことを決めていました。
電子カルテが復活して以降、我々の事件が徳島新聞に出た時に有識者としてコメントしてくださった、神戸大学の森井(昌克)先生、徳島大学の上田(哲史)先生、それからSoftware ISACの板東(直樹)さん、県とつるぎ町に入っていただいて、有識者の会議を開きました。
Software ISACの板東さん、加藤(智巳)さん、萩原(健太)さんは、2回ほど現地調査に来てくださいました。彼ら3名はサイバーセキュリティの専門家なんですが、実際に病院で起きたらどんなことになるのかを2回の現地調査で非常によく知ってくださって、最終的な取りまとめを行ってくれました。
報告書は、この内容を私も議会でも説明しましたが、半田病院のホームページからダウンロードできるようになっています。
Software ISACのみなさんが「医療機関はセキュリティについて詳しくないだろう。これをぜひ叩き台にしてもらって、ベンダーと交渉する時に使ってください」というかたちで用意していますので、何があったか、技術的にはどうだったか、ぜひみなさんご利用いただければと思います。
この中に書いてるのは、本当にまだ不十分な内容です。我々ができてなかったこと、じゃあ実際に今後どうしていけばいいのかは、さらに突っ込んだことを出さないといけないんですが、まずはこれを世に出して、日本の医療機関の改善に貢献できればと思ってお出ししていますので、ぜひご使用になっていただければと思います。
それから「いくら被害額があったんですか?」とよく聞かれます。まだ全額をお支払いしたわけではないですが、復旧と新たなシステム作りに2億円ぐらいかかりそうです。それから11月、12月の2ヶ月で診療を制限しましたので、その減収が数千万円あるんだろうと思ってます。
先ほど言いましたSoftware ISACの方々が厚労省から委託事業をいただいて、医療機関向けのセキュリティ教育支援ポータルサイトを作っています。
ぜひみなさんもアクセスしていただいて、「コンテンツ集」をクリックしていただくと、私も出演していますが、我々の病院で実際にどういうことがあって、何がいけなかったのか、非常にわかりやすい17分ほどのビデオになってますので、ぜひご覧になっていただければと思います。
次に、大きな災害に対しての対応なんですが、「サイバーセキュリティを高める」というお話です。「バックアップは確実にしましょう」「セキュリティ情報の取得をしよう」ということについて、お話ししたいと思います。
これは1ヶ月経った時の記者会見でも使ったんですが、我々のネットワークはVPNが脆弱で簡単に入ってこられて、バックアップサーバーもあったんですが、建物を別にしてるだけで24時間つながってたんですね。それで、簡単にウイルスに入ってこられたということです。
今後は、必要時にだけ外とつなぐようにする。VPNはログが残るようにする。それからバックアップサーバーは、我々はテープを考えていますけど、クラウドやテープといったものに変えていく。
ハブも、なんでもつなぐハブではなくて、登録したものしかつながない。それからクライアントPCにアンチウイルスソフトを入れる。アンチウイルスソフトを入れると本当に電子カルテの動きが遅くなってしまうので、ずっと入れてなかったんですが、こういったことをやっていこうと考えています。
「情報を取得しましょう」と言いましたが、令和3年の6月にはすでに厚労省から、今指摘した内容の注意喚起が来てたんですね。我々がやられたのは10月だったので、6月にこういうことをちゃんと知って対応していれば、やられなかったかもしれません。
今、有識者のメンバーの方と当院の電子カルテを入れたベンダーとシステムを入れたベンダーを交えて新たな電子カルテシステムを作っています。今年度中につながる予定なので、またそのあと新たに報告書を出そうかと思ってます。
今のところ、こんな構成図を考えているんですね。保守回線を一本化するとか、いろんなことを書いてますが、またみなさんにご報告したいと思います。
有識者の先生方から教えていただいたんですが、2020年の8月にすでに総務省と経産省はベンダーに対して「医療機関は医療の専門機関であって、セキュリティについての専門性は乏しい。だから安全管理義務を履行するためには、必要な情報を適時適切にベンダーは医療機関に提供する義務があるんだよ」ということが書かれている、ガイドラインがあることを教えていただきました。
このガイドラインは今年、新たなものになりました。ガイドラインというだけではなくて、実は刑法や民法、それから個人情報保護法といった法律に基づいてこのガイドラインはあるんだよと。だから、よりベンダーに対して注意喚起を促すものに変わりました。
この情報の中に、実は半田病院のこともちょっと出てます。リスクコミュニケーションのところに「徳島県つるぎ町立半田病院で起きたこと」というコラムがあります。何が問題で、(ベンダーは)どういったことをやらないといけないのか、詳しく箇条書きで出ています。
「責任分界上の課題」「初動対応上の課題」「サービス提供上の課題」とありますが、ベンダーに対する注意喚起なんですね。こういったことがベンダーにも求められるようになりました。
それから厚労省も、我々の事件のあとにすぐにガイドライン5.2を出しました。(医療機関は)「責任分界点をはっきりしなさいよ」と書かれているんですが、2022年の11月から保健所の立ち入り調査にこういったことが入ってきました。さらに2023年、厚労省はガイドラインを6.0にバージョンアップしました。
そうなってきた時に、こういう項目だけではなくて、さらに詳しいセキュリティ対策チェックリストが求められるようになりました。
これは医療機関用なんですが、ベンダーに対しても事業者に対しても「こういったことをちゃんとやってくださいよ」と、医療機関が問い合わせをして確認しておくかたちに変わりました。
それからサイバー攻撃を想定した訓練、BCPの必要性についてもお話しします。先ほど何度も申しましたが、簡易バックアップが有用です。それから自治体に大量の備蓄……大量とは言わなくても、ある程度の備蓄のPC・プリンターがあれば、こういった時には本当に助かると思います。
これは簡易バックアップの話なんですが、詳しくは『月刊新医療(2022年7月号)』を読んでいただければ、私とシステム担当の山本の2人で共著で書いてます。
どういうことかと言うと、電子カルテシステムがウイルスにやられて、バックアップデータを守っていたとしても、こちらにウイルスに入られるとバックアップデータを見られないんですね。フォレンジックの調査(不正アクセスなどのセキュリティインシデントが発生した際に、法的証拠を見つけるための鑑識調査やデータ解析)で数週間は使えませんから、その間どうするか。
電子カルテシステムとは別のシステムで、簡易的な患者さんの情報を常にバックアップしていれば、診療を継続できる。
あるいは被災した場合には、普通のコンピューターでその情報を見られますから、診療情報を患者さんにお付けして、被災地から外に出すことが可能なので、こういった簡易なバックアップシステムは非常に有用だと思います。
実際にこれを書いたあとに、大阪急性期(・総合医療センター)さんが(サイバー攻撃に)やられた時に、大阪急性期さんの中にはDACSという簡易バックアップシステムがあったようなので、それで診療が継続できたというお話もありました。
それから、セキュリティ教育支援ポータルサイトの「研修内容」をクリックしていただければ、今度の6.0に合わせたいろんなセキュリティ教育が受けられるようになってますので、これをご活用いただければと思ってます。
セキュリティ教育支援ポータルサイトには、「インシデントかも?」というものがあるんですが、実際インシデントがあったらここをクリックすれば相談・対応をしてくれるようになってます。
当院で現地調査をしてくれたソフトウェア協会の3名の方は、厚労省から委託を受けて大阪急性期さんのインシデント初期対応チームとして駆けつけましたので、非常に助かったという話も聞いてます。
私たちの時は本当に誰も助けにきてくれなかったんですが、今は本当に良くなってますので、こういうのを利用していただければと思います。
最後になんですが、徳島県警のサイバー犯罪対策室から「システム担当責任者はすべてのシステムを把握してください」と言われました。検査機器であったり、それから画像のシステムは、24時間リモートのメンテナンスが必要ということで、システム担当が知らないうちに外のネットワークとつながっていることがよくあるんですね。
大阪急性期さんも本丸のVPNはしっかりして守っていたんだけど、給食センターという横のルートからウイルスにやられたわけです。ですから、すべてのシステムを把握していないと問題があるということになります。
それから、アメリカのランサムウェア対策をしてる識者の方からこういうことを教えていただきました。ランサムウェアとの戦いは勝つことはできないが、降りることもできないゲームであって、侵入されることを前提に「バックアップデータをいかに守るか」と「感染した際に事業継続をいかに行うか」が大事だということです。
簡易バックアップシステムや、行政単位である程度のPC・プリンターを抱えておいてもらうことが本当にBCPに役立つので、考えていただけたらと思います。
以上です。ちょっと早口で聞き取りにくいところもあろうかと思いますが、これで発表を終わりたいと思います。ご清聴ありがとうございました。
須藤泰史氏 プロフィール:1962年大阪府出身。1986年徳島大学医学部卒業。同泌尿器科学教室に入局同講師を経て2003年より町立半田病院(現・つるぎ町立半田病院)。2013年に同病院院長に就任、2020年より病院事業管理者。日本泌尿器科学会 専門医・指導医、日本透析医学会 専門医、地域包括医療・ケア認定医、総合診療専門研修特任指導医、地域総合診療専門医・指導医、日本DMAT隊員、全国国民健康保険診療施設協議会 徳島県協議会会長。
2023年11月15日~16日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。サイバーセキュリティの最新動向や脅威への対策などを中心に計28セッションが開催され、そのうち19セッションを11月20日より順次ログミーでもお届けいたします。
株式会社網屋
2024.11.21
40代〜50代の管理職が「部下を承認する」のに苦戦するわけ 職場での「傷つき」をこじらせた世代に必要なこと
2024.11.13
週3日働いて年収2,000万稼ぐ元印刷屋のおじさん 好きなことだけして楽に稼ぐ3つのパターン
2024.11.20
「元エースの管理職」が若手営業を育てる時に陥りがちな罠 順調なチーム・苦戦するチームの違いから見る、育成のポイント
2024.11.20
成果が目立つ「攻めのタイプ」ばかり採用しがちな職場 「優秀な人材」を求める人がスルーしているもの
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.11.19
がんばっているのに伸び悩む営業・成果を出す営業の違い 『無敗営業』著者が教える、つい陥りがちな「思い込み」の罠
2024.11.18
20名の会社でGoogleの採用を真似するのはもったいない 人手不足の時代における「脱能力主義」のヒント
2024.11.21
初対面の相手から本音を引き出す「核心質問」のやり方 営業のプロが教える、商談成功のカギを握る質問力アップのコツ
2024.11.13
“退職者が出た時の会社の対応”を従業員は見ている 離職防止策の前に見つめ直したい、部下との向き合い方
2024.11.22
40歳以降の「つみたてNISA」と「iDeCo」運用の優先順位 老後のための資産形成のポイント