長谷川、病院の情報セキュリティ対策を学ぶってよ。

そもそもなぜ医療機関はランサムウェアの攻撃で狙われやすいのでしょうか？

医療機関が狙われる理由は、システム停止が人命に関わることから、身代金が支払われやすいという点と、24時間停止できないシステムへのセキュリティパッチの適用が困難で、既知の脆弱性が見つけやすいという理由があると考えられます。医療機関にとっては、ランサムウェアによる身代金請求よりも、システム停止や業務停止によって発生する人命のリスクのほうが重大な問題なのです。

なるほど、人命のリスクを狙うとは、卑怯な手口ですね。サイバー攻撃から守るために、医療機関ではなにか対策はされていないのでしょうか？

対策はしっかりとされていますよ。多くの医療機関において医療系ネットワークとインターネットは分離されているのです。これによって電子カルテ端末からインターネットを経由してマルウェアに感染したり、サイバー攻撃を受けた場合に、重要なシステムや患者情報に被害が及んだりすることを防いでいるのです。

現在、マルウェア感染の8割以上がメールやブラウザといったインターネットアプリケーションの利用によるもの^※といわれており、医療系ネットワークがインターネットから分離されているからこそ、日本の医療機関におけるマルウェア感染被害は諸外国の医療機関と比べても低く抑えられているといえます。

また、可能であれば医療機関では情報系端末からの直接のインターネット閲覧やメールの利用は控えたほうが良いでしょう。サイバー犯罪者の攻撃は巧妙化しており、メール訓練を行ったとしても、関係者になりすましたメールのリンクのクリックを踏みとどまることは困難です。特に広域医療連携が進んでいる現状では、メールと添付ファイルで情報連携が日常茶飯事に行われています。添付ファイルや本文中のURLリンク先がランサムウェアであれば、情報系端末が利用できなくなり、診療実施への影響は避けられません。また、情報窃取型のマルウェアであれば、医師や地域の病院や診療所とメールなどでやり取りされる機微情報が漏洩する可能性もあります。つまり、情報系端末からもメールとブラウザの実行場所は極力分離しておくべきだと考えます。

医療ネットワークとインターネットを分離しているから日本では被害が少ないんですね。でも、情報系端末から直接インターネットの閲覧やメールが使えないと、不便ではないですか？

はい、その通りなんです。高いセキュリティと利便性はトレードオフの関係にあり、情報セキュリティを強化すれば利便性は下がってしまいます。政府が主導する働き方改革の必要性は医療においても高まっており、より効率的に働き、残業を減らすことは日本の医療機関全体で取り組んでいくべき課題となっています。 インターネット閲覧やメールなどを利用するさいには情報系端末を使いますが、基本的には共有端末であるため、使いたい時に使いたい場所で利用できなかったり、個人に最適化された環境ではないため、目的の情報にたどり着くまでに時間がかかったりしてしまいます。効率的に働きたい医師は自分のPCを持ち込んで情報系ネットワークにつないだり、分離されたネットワーク間のデータのやり取りを管理外のUSBメモリなどで行ったりするなど、シャドーITを生みやすく、新たなセキュリティリスクを発生させます。それを防止するセキュリティ対策を行えば、効率性を求めるユーザーとの摩擦は一層大きくなり、仕事への満足度低下につながることもありえます。つまり、セキュリティ対策だけに目を向けていると、逆の結果を招いてしまうのです。

利便性が低下してシャドーITが発生しては、元も子もありませんね。セキュリティと利便性、両方を保つ良い方法はないのでしょうか？

実は、病院のようにネットワークが分離された環境の不便を解消するソリューションがあります。それが、インターネット分離のソリューションです。既にネットワーク分離を導入している病院にとって、インターネット分離ソリューションは、セキュリティ向上効果を情報系ネットワークにまで拡大させ、電子カルテ端末や情報系端末からブラウジングやメールを安全に利用可能にする、相性の良いソリューションだといえます。

インターネット分離ソリューションは、どのような仕組みになっているのですか？詳しく教えてください。

インターネット分離ソリューションでは、Webコンテンツなど感染リスクのあるものは全て分離環境内で実行し、リスクを封じ込めつつ利用し、使い終わったら分離環境ごと破棄します。未知の脅威にも対処でき、真偽判定を間違えることもない、そして何よりユーザーの利便性を損ないません。

現在、様々なベンダーからインターネット分離のソリューションが提供されており、大別すると以下3つの方式に分けられます。 ネットワーク分離の環境において、どのように内部ネットワークとインターネット接続ネットワークを使い分けるのか、それぞれの方式ごとに説明しますね。

①VDI（仮想デスクトップ）
分離されたVDI環境に、ブラウザやメーラーなどのインターネットに接続するアプリケーションを配置し、そこからインターネットを利用する。手元の端末は、VDI側の画面の表示のみを行うため、安全が保たれる。メール用のVDIとブラウザ用のVDIを作成するほうがよりセキュアだが、導入コストが膨大になる。

②RDS（共有デスクトップ／アプリケーション公開）
ブラウザやメーラーなどのインターネットに接続するアプリケーション、または共有デスクトップを別々のインターネット接続セグメントに設置されたリモートデスクトップサーバー上で利用する。ひとつのOS上で多くのリモートデスクトップセッションを同時に動かすため、1セッションあたりのコストはVDIに比べて安価。ただし、リモートデスクトップサーバー自身のサーバOSや、アプリケーションへの感染リスクは残るため、サーバ側のセキュリティ対策を手厚く行う必要がある。

③仮想ブラウザ
仮想ブラウザサーバの分離環境（コンテナなど）内の仮想ブラウザで感染リスクのあるWebコンテンツを実行し、端末は100%安全な実行結果の画像のみを表示する。ブラウジングを終了すると分離環境ごと破棄されるため、仮想ブラウザサーバは常にクリーンに保たれる。メールの実行場所とも分かれるため、メール文内の不正なURLリンク対策、添付ファイルからのマルウェア感染時のC＆Cサーバとの通信も成立しない。

実際にインターネット分離ソリューションを採用している病院はあるんですか？

はい、大阪府済生会吹田病院では、電子カルテ端末からも安全にインターネットを閲覧するため、紹介したインターネット分離ソリューションの３つめの方式である仮想ブラウザの仕組みを導入しています。
本病院では、セキュリティ対策のためにネットワーク分離を実施していました。そのため、医療情報などを取り扱う基幹業務ネットワークに接続するときと、インターネットに接続するときに端末を使い分ける必要があり、ユーザーからは不便という声がでていました。しかし、仮想ブラウザ方式のインターネット分離ソリューションを導入することにより、ひとつの端末から基幹業務ネットワークとインターネットに接続できるようになり、不便が解消されたのです。

ネットワーク分離を導入している病院へのインターネット分離ソリューションの導入は利便性の向上に実際に役立っているんですね。

はい、病院の情報セキュリティは、ネットワーク分離によって守られ、そして、ネットワーク分離における利便性はインターネット分離ソリューションを導入することで解消することができるのです。

先輩、今日はありがとうございました！とても勉強になりました。