医療機関のサイバー攻撃対策、医療ISACがクラウドファンディングで支援

　医療ISAC（Information Share and Analysis Center）は、医療分野における情報セキュリティの啓発団体。2013年に活動を始めたメディカルITセキュリティフォーラム（MITSF）を前身に、2019年10月から医療ISACとして活動している。

　今回、医療機関をターゲットにしたサイバー攻撃やランサムウェア攻撃が増える一方で、十分なセキュリティ人材や予算を獲得できない医療機関が少なくないことから、セキュリティ診断と対策導入の支援費用としてクラウドファンディングを実施する（図1。クラウドファンディングのページ）。

図1：医療機関のセキュリティ対策をクラウドファンディングで支援する

　医療ISACの代表理事で、愛知医科大学 医療情報部長 特任教授の深津 博 氏は、クラウドファンディングを実施する理由を次のように語る。

　「医療機関が扱う情報は『健康・身体に関わる個人情報』だ。地域の基幹病院がサイバー攻撃の被害にあうと、受診中の患者や地域連携先のクリニックなども大きな被害を被ることになる。地域基幹病院を守ることは地域全体の医療を守ることに直結する。日本国内の医療機関に対するサイバー攻撃は急増している。最悪の事態を招かないために、医療機関のサイバーセキュリティの健全性を保てるよう取り組むことが大切だ。サイバー攻撃によって個人情報の流出されてしまう前に、1人でも1医療機関でも多く、サイバー攻撃への対策を打てるよう、皆様のご支援・ご協力をお願いしたい」

　背景には、一般企業であれば、セキュリティ対策に必要な経費を背品／サービスの価格に転嫁することもできるが、病院の診療報酬は公定価格であり転嫁ができないことや、コロナ禍で病院の経営状況が厳しくなっているという事情があるとしている。

　クラウドファンディングの第1期では、導入を希望する3病院（小牧市民病院、社会医療法人大道会 ボバース記念病院、同 森之宮病院）を対象に各病院当たり100万円の支援金を募る。支援時には、病院を指定することもできる。

　資金を得て実施するのは、すべての病院に必須の「マストセキュリティ」として、大きく3つ施策を提供する。（1）DMARCメール設定コンサルティングサービス、（2）脅威インテリジェンスサービス診断・監視、（3）サイバーセキュリティコーディネーターサービスだ。

　メール設定コンサルティングでは、送信者のなりすましやメール内容の改ざんを防げるよう、医療ISACがメール環境を診断し、必要に応じて対策のコンサルテーションを実施する。

　脅威インテリジェンスサービス診断・監視では、インターネット上の公開情報から病院システムが狙われる「アタックサーフェス（攻撃対象領域）」がないかを診断する。ダークネットで活動する脅威アクターの会話や投稿、ブラックマーケットでの売買情報を監視し、対象病院が狙われている兆候を発見すれば直ちにアラートを通知する。

　サイバーセキュリティコーディネーターは、脅威インテリジェンスサービスの結果を受け、病院システムに必要なセキュリティ対策の方針決定を、医療ISACのスタッフが優先順位や緊急性、予算感を考慮しながらサポートする。

　各病院100万円を超える支援額が達成された場合は、その超過分を診断結果に基づくソリューションの導入費用に充当する。

　医療ISACが、四病院団体協議会（日本医療法人協会、日本精神科病院協会、日本病院会、全日本病院協会）に加盟する病院を対象に2022年2月に実施したアンケート調査（回答数1144病院）では、90％以上の病院がサイバー攻撃の脅威を実感しているものの、50％以上の病院が年間セキュリティ予算は500万円以下で、セキュリティ専任人材が常駐していない。結果「何をすればよいのかわからない」のが実態だという。

　実際、サイバーセキュリティ対策を念頭においた事業継続計画（BCP）を策定しない病院が7割以上、外部によるセキュリティ監査を受けていない病院が9割、サイバー保険に未加入の病院が7割以上あるという。

　医療ISACによれば、2021年以降、多くの医療機関がサイバー攻撃の被害にあっている。中でもランサムウェア感染による被害を受けた病院は、診療停止あるいは著しい診療制限という事態に陥った。

　被害を受けた複数の病院が、米国製のVPN（仮想私設網）機器の脆弱性が放置されており、そこを狙われたと考えられている。VPN機器の脆弱性リストは、2021年9月にダークウェブ上に公開・販売されており、その直後に徳島県の町立病院が、そのVPN機器の脆弱性を突かれてランサムウェアに感染し被害を受けた。