病院へのサイバー攻撃が相次いでいる事態を受け、今年度から医療法に基づく立入検査にサイバーセキュリティ対策の項目が追加されました。今年度は10項目、来年度は8項目に対応することが求められています。世界的に被害が拡大している身代金要求型のランサムウェアなどによるインシデント発生時を視野に入れ、診療を継続するために必要な情報を検討し、データやシステムのバックアップを実施したり、復旧手順を確認したりする必要があります。アマゾン ウェブ サービス ジャパン合同会社（AWS）で、医療機関へのクラウド導入を支援する片山洋平氏にサイバー攻撃に備えたデータの管理方法などについて聞きました。

－立入検査の項目では、どのような対策を重視しているのでしょうか。

　立入検査の項目を見ると、サイバー攻撃に対する対策だけではなく、復旧や事業継続といった観点も記載されています。実際に医療機関から、特にランサムウェアという切り口で相談をいただくことが多いです。「オンプレミス」（サーバーやネットワーク機器などを自院で保有し運用する利用形態）に従来置いていたデータが、ランサムウェアの脅威にさらされている部分があると考えられます。大きな危機感を持っていて、データの保管や事業継続の環境が重視されてきていると思います。

－サイバー被害に遭った後の復旧のポイントを教えてください。

　2022年10月にランサムウェア被害に遭った大阪急性期・総合医療センターの報告書（https://www.gh.opho.jp/important/785.html）でも、外部媒体への保存の重要性を指摘しています。復旧に必要な重要なデータを「外部媒体に保存しておくことが得策であった」などと記載されているように、サーバー攻撃を受けた後はバックアップデータを持っているかどうかが、復旧できるかどうかの鍵を握ります。
　サイバー攻撃が顕著になってきてから、クラウドに関する問い合わせが増えてきたと感じています。クラウドサービスの中に「Amazon S3」（https://aws.amazon.com/jp/s3/）があります。このS3のオブジェクトロックの機能を使えば、ブジェクトが削除されたり、上書きされたりすることを、お客さまの指定した保持期間において防止することができます。一番権限の強いユーザーでも一定期間、改ざんができない状態になるほどセキュリティのレベルが高いため、導入を検討されているケースが多いです。こうしたセキュリティ対策に加え、データ拠点が国内に複数あるため、自然災害のリスクも減らせます。
　また、オンプレミスの環境下でサーバーやOSを管理するといった運用面の負担を軽減でき、運用者が本来やりたい業務に時間を使えるようになることも期待できます。不具合などで夜間に職員が起こされて対応するといったことも発生しません。

－AWSの様々なメリットのうち「低価格」であることも医療機関にとって大きな魅力ですが、なぜ実現できるのでしょうか。

　AWSの場合、世界中にデータセンターを持っており、調達能力も高いです。そのため、継続的に値下げをおこなっています。また、どういった機能が必要かというお客さまからいただいた要望を、私のようなソリューションアーキテクトがサービス開発チームに届け、サービスに反映させています。質を高めながら成長していくことで、低コスト化や新しい機能の開発が進み、顧客のメリットにつながるサイクルを構築しています。

－今後、医療機関ではどのような姿勢で対策を行っていくべきでしょうか。

　クラウドは第三者機関などの認証も受けており安全なことが外部からも証明されていますが、お客さまがデータを利用する際には、病院との接続など、要件に応じて設定を加えていく必要があります。この設定が甘いと100%安全ではなくなる可能性もありますので、医療機関の皆様もクラウドの使い方を学ぶ必要があります。私のようなソリューションアーキテクトが、院内でどのような支援をできるかを一緒に考えることで、医療現場のセキュリティを高めていくことができると思います。サイバー攻撃の脅威に対し、医療機関とクラウドのベンダー、セキュリティソフトメーカーが一丸となって対応していくことが重要です。

　10月17日（火）に開催するＣＢセミナー「全医療機関対応必須！サイバーセキュリティ立入検査対策講座」では、今回インタビューをした片山氏と実際にサイバー攻撃を受けた、徳島県つるぎ町立半田病院の須藤泰史氏（病院事業管理者）、トレンドマイクロの松山征嗣氏がタッグを組み、今後の対策について語ります。サイバーセキュリティ対策が義務付けられた医療機関にとって必見の内容です。
↓詳細・お申し込みはこちらから↓
https://www.cbnews.jp/seminar/entry/20231017seminar

片山 洋平（かたやま・ようへい）氏｜アマゾン ウェブ サービス ジャパン合同会社 パブリックセクター技術統括本部 ソリューションアーキテクト 顧客のクラウド活用を推進するため、ソリューションアーキテクトとしてビジネス・技術の両面から支援を行う。ヘルスケア領域を主に活動しており、医療機関や医療情報システムベンダーのクラウドジャーニー、アーキテクチャ支援、様々な技術課題の解決を担当している。