医療機関におけるサイバー攻撃を 想定したBCP策定

医療機関におけるサイバー攻撃を想定したBCP策定　　　　　　　　　　

執筆：CISO事業部　平野 寿治
監修：CISO事業部　吉田 卓史

BCPを見直されていますか？

昨今の医療技術の高度化や業務効率化の波を受け、閉域網で外部と接点があまりなかった医療機関のネットワークも徐々にクラウドサービスやAIの活用など、外部との接続が始まりつつあります。一方でサイバー攻撃による業務停止が国内でも多発しており（代表例：半田病院様や大阪急性期総合医療センター様でのランサムウェアによるインシデント）決して他人ごとではなく、身近にも起きうる状況となっています。
厚生労働省より公表されている"令和6年度版の医療機関におけるサイバーセキュリティ対策チェックリスト"※1 において、サイバー攻撃を想定した事業継続計画（BCP）の策定の有無が新たに確認事項として追加されました。多くの医療機関で自然災害を想定したBCPが広く検討・策定されている中で、新たな視点として、サイバー攻撃によって医療機関の機能に重大な影響が生じた場合の事業継続計画が求められています。医療法に基づく医療機関に対する立入検査の際、未策定の場合には具体的な改善目途の提示が求められると想定されます。
以下、BCPの策定や見直しを行う上で、特に"医療機関でのセキュリティ視点"から、事業継続に関して留意すべき点を紹介します。

サイバー攻撃（インシデント）の高度化

攻撃手法や戦術が進化し、従来の単純な愉快犯による攻撃から、組織化された犯罪集団による複雑で精微な攻撃手法が用いられるようになりつつあります。
従来の攻撃手法では、ウイルスやマルウェアによる攻撃が一般的でしたが、現在ではファーミング、フィッシング、ゼロデイ攻撃、ランサムウェア、AIを駆使した攻撃など、さまざまな方法が用いられています。また、サイバー犯罪者はより組織化され、プロフェッショナルな技術やリソースを持つことが一般的になっており、攻撃がより洗練され、巧妙化しています。
特定の企業や団体を狙った攻撃が増加しており、重要な個人情報を取扱う医療機関は、攻撃のターゲットとなりやすい要素を多く持ち合わせています。
攻撃者は事前に情報収集を行うことで、ターゲットに最適化した攻撃を行うようになっており、侵入してから数週間～数カ月にわたり内部の機器構成や重要情報を収集してから最終攻撃を行う場合も増えつつあります。 

サイバー攻撃対策の１つとしてのBCP

巧妙化したサイバー攻撃に対して、従来のセキュリティ対策だけでは対応できないケースが増えており、最新の技術や戦略を活用した防御策を講じることでリスクを低減させることが重要です。一方で、リスクを完全に排除することは難しい状況があり、防御策を講じるのと並行して、万一攻撃を被ってしまった場合にいかに迅速にサービス・事業を復旧させることができるか、事業継続計画を検討・策定しておくことが重要です。事業継続計画を運用することでリスクを軽減することができ、非常に有用な対策であると言えます。

サイバー攻撃による被害を被った際に、事前に事業継続計画が準備されていなかった場合、以下の様な影響が想定されます。

・インシデント発生時の初動対応について十分に協議されておらず、証拠保全が不十分となり、被害範囲の特定ができなかった
・インシデント発生時に、ネットワーク機器が院内のどこに配置されているかわからず、原因究明に時間を要した
・ランサムウェアによる攻撃の際に、バックアップが適切に確保できておらず、復旧が難航した
（厚生労働省、令和6年6月、"サイバー攻撃を想定した事業継続計画(BCP)策定の確認表"※2より）

表 1：代表的な攻撃被害内容

BCPの見直しや策定前にはリスク分析が重要

医療機関向けのセキュリティBCP策定には、現状のリスクを把握するリスクアセスメントや業務影響分析を基にした立案が重要です。また、具体的なセキュリティ対策やインシデント対応計画の策定、体制の構築、従業員教育・訓練の実施、そしてテストとレビューを通じた継続的な改善が欠かせません。この一連の手順を踏むことで、医療機関が予期しないリスクに直面しても、迅速かつ効果的に対応できる体制を構築することができます。
代表的なBCP策定や見直しに向けたフロー参考例を以下(表2)に紹介します。 

表 2：医療機関向けBCP策定までのフロー参考例

BCPの見直しポイント

"サイバー攻撃を想定した事業継続計画(BCP)策定の確認表"では、サイバー攻撃を受けた場合の時系列別に"実施する（しておく）べき事項"が記載されています。各医療機関でサイバー攻撃に備えるために、"平時の対応→攻撃の検知→初動の対応→復旧の対応→事後の検証"の各要素をBCP策定に盛り込むべきとしています。

表 3：BCP策定の確認項目　※2,※3

表 4："サイバー攻撃を想定した事業継続計画(BCP)策定の確認表"

まとめ

サイバー攻撃を"防ぐ"と同時に、"攻撃を受けた場合の影響低減"を意識した対策をとることで、攻撃を受け被害を被った際に、円滑に復旧対応等を行うことが可能となります。形式的な見直しではなく、本来の目的に沿う形でのBCPの策定が重要です。
弊社では、BCP策定や見直しで必要となる医療機関向けリスクアセスメントやサイバー攻撃を想定した事業継続計画の策定・改定のご支援を行っております。ご不明点やご相談がございましたら弊社までお気軽にお問合せください。

【プロフィール】

平野 寿治（ひらの としはる）

プリセールス、要件定義からセキュアネットワーク設計、構築、保守までネットワークセキュリティにおける全工程に精通。自治体、医療機関、教育機関、放送事業者、工場プラントなど多岐に渡る幅広い経験や知識を活かしてアセスメントから設計、構築、運営を支援。直近では、国内大手のSierや通信事業者のセキュリティコンサルサービスの立ち上げに携わる。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

*1：厚生労働省、"令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト"
https://www.mhlw.go.jp/content/10808000/001253950.pdf.

*2：厚生労働省、"サイバー攻撃を想定した 事業継続計画（BCP）策定の確認表"
https://www.mhlw.go.jp/content/10808000/001261299.pdf.

*3：厚生労働省、"サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き"
https://www.mhlw.go.jp/content/10808000/001261301.pdf.