JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

  • ホーム
  • コラム
  • 医療ITを考える
  • 病院情報システムのセキュリティ確保について〜Wannacryのような悪質なソフトウェアの被害にあわないために。

病院情報システムのセキュリティ確保について〜Wannacryのような悪質なソフトウェアの被害にあわないために。

心配していた被害が発生

5月に発生したランサムウェア「WannaCry」による影響は非常に広範囲にわたり大きなものでした。日本での影響は幸いにしてあまり大きなものにはならなかったようですがそれは幸運だったとしか言いようがありません。

ランサムウェアと呼ばれるマルウェア(悪質なプログラムの総称)の一種は使っているパソコンやデータベースなどのデータを暗号化して利用できなくした上で金銭を要求するという種類のものです。要求される金額が比較的支払い可能な額に設定されていることもあり支払ってしまう場合もあると聞きますが、それで暗号化が解除される保証はどこにもないという極めて悪質なものです。

以前、ランサムウェアのデモを見たことがありますが感染すると自身を隠すことや増殖を行う事と平行してファイルの暗号化をするのですが、その処理スピードは非常に速くそれこそあっという間に暗号化が行われてしまいます。気がついたときには処理が終わっているというもので感染後に対応するのはなかなか難しいなと感じました。

今回の「攻撃」により病院のシステムにも影響が出たと報道されていましたが、それを聞いたとき日本の病院は大丈夫か?と非常に心配になりました。病院のシステムの多くがこういった悪質なプログラムへの対処法であるOSのアップデートがしにくい状態であることを知っていたからです。

「WannaCry」はWindowsネットワークにおいてファイル共有を行うための「SMB(Server Message Block)」という仕組みにあった脆弱性を利用して感染、増殖を行うようになっています。(主な感染経路はメールの添付ファイルではないと報道されています(※1))。この仕組み自体はコンピュータ同士がファイルのやりとりをするために利用する基本的なもので停止するのは難しいのです。そのプログラム上の問題点(脆弱性)を利用したのが今回の「WannaCry」です。

最初は「Windows xp」などの古いOSが主に対象になっているといった情報があったのですが実際に対象になったのはのちのKaspersky Labの報道(※2)によれば、Windows7が98%であったということがわかっています。すでにWindows xpはMicrosoftのサポートが終了していましたがMicrosoftは今回の事態に対してxp向けのセキュリティ対処のためのパッチ(※3)を特別に出すといった対応を行っています。

Windows7はサポート期間中ですのでセキュリティ対処のためのパッチはすでにMicrosoftから発行されていました。では、マルウェア対策の基本である「OSのアップデート」をきちんと行っていれば被害は防げたのではないか?という事になります。しかし、病院情報システム(だけとはいえませんが)では、基本である「OSアップデート」が難しい状況がありここが以前から大きな問題と感じているところでした。

病院情報システムにおける大きな問題

病院の各種のシステムにおけるセキュリティの問題は患者の命に関わる重大な問題であるといえるためシステムの開発や構築、運用においては十分な配慮を必要とすることはいうまでもありません。とはいえ、様々な点から十分なセキュリティを確保することは容易ではありません。

前のコラムで、病院情報システムというものが異なるベンダーの様々なシステムが複雑に関連して構築されている事を述べましたが、このことだけでもシステムに関わる方であれば「大変だな」と感じることだと思います。

この「システム構築時の複雑さ」ですがシステムの規模が大きくても一つのベンダーが作る一つのシステム、アプリケーションであれば、作り方はともかくそこには一定の共通ルールや作り方の特徴があるのでまだ対応しやすいということもあります。これが複数となると格段に複雑さを増すことになります。異なる常識を持つシステムエンジニアやプログラマーがそこに関わることになることも、共通の考え方をベースに開発や検証を進めることを難しくします。また、現場の要求に応じてのカスタマイズが行われることも多いことから何か問題が発生した際の検証はさらに難しくなります。単純にパッケージをインストールして利用するといったことではないので非常にやっかいになるわけです。

そういう状況にある病院情報システムはセキュリティパッチなどの適用が非常に難しいものとなってしまいます。

今回の例を見るまでもなく、システムへマルウェア(コンピュータウィルスなど悪意を持ったプログラム)を導入(感染といったりもしますが)したり、何らかの情報を盗み出したりする際に不正にアクセスする手段として、そのシステムのOS(Windows等のオペレーションシステム)やアプリケーションが持つ「脆弱性」(プログラムの欠陥やミス、そのほか)を利用する事が常套的にあります。特にOSなど基本的なプログラムに関する脆弱性はシステムの根本に関わる事も多く、システムそのものを乗っ取られてしまうほど深刻な被害につながる場合があります。今回の「WannaCry」の手段はまさにこれに当たります。

そのため、基本的なセキュリティ対策として「OS等ソフトウェアのアップデート(以下OSアップデート)」と「ウィルス対策ソフトの導入」などがいわれ、それは最低限実行するべきであるというのがセキュリティ対策の基本的な考えともいえます。(ウィルス対策ソフトについては、状況により様々な場合が考えられますが)
前者は「脆弱性」をなくしてそもそも攻撃を受けにくくするための対策として、つまり人間でいえば身体そのものを健康にするための対策です。
後者は万一マルウェアなどがUSBフラッシュメモリや電子メールに添付されてきた場合それを発見し駆除する。つまり検査や予防薬や抗生物質として機能するものといえます。

この対策のうち、「OSアップデート」について、病院における多くのシステムは適切に行われていないというのが現実ではないでしょうか?

OSはその上で動くアプリケーションに大きな影響を与えるものですから、アップデートに関しては事前に十分な検証をしてから行うことが理想的です。
しかしながらそういった検証は、検証やテストの環境も十分でなく複雑なシステムであることから非常に困難なこととなってしまい「機能が保証できなくなる」ことや、その対応にシステムの停止などが伴う事も多いことなどから後回しにされ対応されないことが多いものです。たしかに、システム自体に問題を引き起こすかもしれないOSアップデートを行うことは大きなリスクを伴うことかもしれないため「今システムにトラブルを引き起こすかもしれないリスク」と「いつかわからないけど、脆弱性などを攻撃されるリスク」を比較した上での判断として、やむないものとはいえるかもしれません。

病院情報システムがネットワークにつながっていないから問題ないということはありません。データの持ち込みなどを完全にシャットアウトするのはなかなか困難です。この問題は、たとえ仕様に「OSアップデートについて適時対応できること」などの項目を入れたとしても、今までのようなプログラムの作り方では現実的に対応は難しいと考えられます。OSアップデートが行われずそのままで運用をしているシステムに、今回のような自己増殖型のランサムウェアが感染したら想像以上のスピードで感染が拡大し大きな影響が出ることになってしまうでしょう。すぐに対処が難しいが故に非常に憂慮されることであり、今回の場合いくつかの病院ではおそらくその心配が現実になってしまったのではないか?ということになります。

病院情報システムにおける対処

前述のように、すぐに根本的な対処ができる問題ではありませんが、いくつかの対応はできると思います。病院情報システムの運用に関わることがあるのであれば、是非、以下のような点を確認して頂ければと思います。

1. 実際に同様の事故が発生した場合の対処手順の整備や再確認

すでに対応手順を決めている場合はその手順の再確認や徹底をまだの場合は早急に手順や対処法などを決めてください。 これから決める場合は、最初からあまり広範囲のものに対応したものより、まずは具体的に今回のような事例の場合どうするのかを考えると良いかと思います。 発生の場合、報告や支援を求める団体や業者の連絡先などもあらかじめ考えておくと良いですが、まずは、システムを構築した業者とよく話し合って頂ければと思います。

2. バックアップとその復元手順の確認

必要なデータのバックアップ、システム全体のバックアップなどについてはすでに行っていることが多いと思いますがそれが適切に行われているか、また、そのバックアップからの復元は問題なくできるのか、の手順や時間はどの程度かかるのかを確認してください。 実際に訓練やシミュレーションとして行ってみるのが最も効果的です。 バックアップはあっても実際にそのデータを用いた復元は意外に面倒で手間がかかりますし特定のソフトウェアや環境が必要な場合もあり今のままでは十分に対応ができない場合もあります。 もちろん、これを機に、バックアップの頻度なども再度検討されると良いかと思います。

3. OS やシステムの状態の確認

OSのバーションやパッチの状況、脆弱性に対処するための作業などの状況を確認してください。実際に被害が発生した場合システムが影響を受けるのかどうかを判断することができる情報でありその情報によってどのような対処をすれば良いか決定することができます。 もちろん、アップデートなどが可能なのに行っていない状況であれば早々に対処します。

4. 運用の見直し、利用者への情報提供と徹底

運用を確認し感染を引き起こすような使い方を抑制するための啓発を行うことはやはり必要です。とはいえ、これだけで防げるわけでもありません。 今回のランサムウェアについてはそれぞれ個人に直接影響がある(診療ができなくなることはもちろん、論文や研究データが利用できなくなるなど)事もあり問題が大きいことを訴求する事が効果的かと思います。 USBフラッシュメモリの使用などについても注意を促す必要があります。 被害が発生した場合にはシステム運用部門などに問合せが集中し本来行わなければならない対処ができなくなる恐れもあるのでそういった際の受付の方法(電話対応などは、別な部署の協力を求めるなど)も決めておくと良いと思います。

5. 管理外の接続などの確認と対応

病院情報システムに接続された各種の機器(モダリティ)では、メンテナンス等のためシステム運用部門の把握していないところで自社への接続を行っている事がままあります。 そういったものについて、今回改めて確認し状況を把握相手先の環境や問題が発生した場合の取り決めなどをしておくと良いかと思います。 また、勝手に設置した無線LANアクセスポイントなども把握、管理を行うようにしていきそういったところからの感染を防ぐ必要があります。

6. 今後の検討と行動計画の策定

そもそも、今回のような問題が発生するのは本来行わなければならないはずのOSアップデートなどへの対処ができていないことにもよります。 今後、そのような問題ができるだけ小さくするにはどうすればよいか?計画的な更新を行う必要性は高いがその時期や経費をどうするのか?、USBフラッシュメモリなどの利用を管理するような仕組みを導入するか?など、検討すべき課題は多岐に渡ります。  これは、利用者、運用者、業者に加え、経験やノウハウを持つコンサルタントなどと議論を行いそれぞれの組織に合わせた計画を立てておくべきと思います。

以上述べたことについては、対応すべきことの一部といえこの他にもまだいろいろと対応しなければならないことはあるのですがまずは、今回の出来事を期にこのようなことから動き出して是非総合的な検討をして頂きたいと思います。さらに、システムを提供するベンダーの方々にもこういった状況が大きな問題を抱えていることを認識していただき、そもそもの問題が起こらないようなシステムを目指して頂ければと考えます。何より診療が止まってしまうことは多くの患者さんの命を預かる側として起こってはならないことですから。

※1主な感染経路はメールの添付ファイルではない 
※2 Kaspersky Labの報道 
※3 xp向けのセキュリティ対処のためのパッチ

Adobe® Reader®

PDFファイルの閲覧には、Adobe® Reader®が必要です。

Adobe® Reader®のダウンロード

お問い合わせ