重要インフラ&産業サイバーセキュリティコンファレンスでの大阪急性期・総合医療センター 診療情報管理室 主査の森藤 祐史 氏の講演の内容をウェブメディアのデジタルクロスがレポートしました。
大阪急性期・総合医療センターは2022年10月、給食事業者を介してVPN機器の脆弱性を突かれたサイバー攻撃を受け、院内の重要システムが次々とランサムウェアの被害を受けました。この一連の事件は、病院のサイバーセキュリティの現状と基本的なセキュリティ対策の重要性を再認識させるものでした。
ランサムウェアの影響で大阪急性期・総合医療センターの医療業務の多くが停止し、最終的には数十億円規模の逸失利益を被りました。病院側が後に明らかにしたところによれば、攻撃の原因は給食事業者が放置していたVPN機器の既知の脆弱性と病院内のセキュリティ管理の甘さにありました。特に問題だったのは、病院で使用されていた電子カルテのパスワードが初期設定のままであり、すべての職員が管理者権限を持っていたこと、そしてアンチウイルスの設定がなされていない端末が存在したことです。
これらの基本的なセキュリティ対策の欠如が病院のITシステムを外部の脅威に対して無防備にしました。また、攻撃を受けた後の対応においても、データのバックアップが不十分だったためにシステムの復旧に長い時間が必要となりました。この過程で、バックアップデータの確認に使用するサーバも感染が判明し、状況はさらに複雑化しました。
この事件は病院が日々直面しているサイバーセキュリティのリスクと、それに対応するための基礎的な対策の重要性を改めて示しています。森藤氏はこの一連の経験から得た教訓を基に、今後は医療情報部長を中心にセキュリティレベルの向上を図るとしています。その一環として、医療情報システム安全管理委員会が新設され、より強固なセキュリティ対策とITガバナンスの強化が進められることになります。
この事件から病院、クリニック、その他医療施設が学ぶべき点は多く、基本的なサイバーセキュリティ対策の重要性が今後ますます高まることは間違いありません。病院側は、患者の安全とプライバシーを守るためにも、基本から見直しを行い、全職員がセキュリティ意識を持って行動することが求められます。
参考記事