大阪急性期・総合医療センター（大阪市住吉区）が身代金要求型コンピューターウイルス「ランサムウェア」の攻撃を受けて、大規模なシステム障害に追い込まれてから31日で1年が経つ。サイバー攻撃を受けた時、病院はどのように対応すべきなのか。実際に初動対応に当たった同センターの担当者に教訓を聞いた。【構成・兼松昭夫】

地方独立行政法人大阪府立病院機構
大阪急性期・総合医療センター
事務局　経営企画マネージャー 粟倉康之さん
情報企画室サブリーダー　上野山亮さん

大阪急性期・総合医療センターのインシデント概要

■発生当日の会見で事実を公表、支援呼び掛け

－「情報セキュリティインシデント調査委員会」が3月にまとめた報告書によると、病院に配置している給食会社の委託職員が、電子カルテシステムが動かないことを認識していたものの、それからシステムを遮断するまでに約3時間かかったとのことですが、ネットワークを脅かすインシデントの発生を早期に把握する上で、どのようなことが大切だと感じていますか。

　技術的には、パソコンやサーバー内の不審な挙動を検知する「EDR」や、不審な通信を検知する「NDR」、インシデントの発生を365日・24時間体制で監視し、対策の立案を支援する「SOC」などのサービスを利用していれば対応できるだろう。ただ、それらの費用負担が大きい。

　病院にとっては、VPN機器など外部との接続ポイントの資産管理やリスク評価、脆弱性への対策を日ごろから検討し、リスクを伴う通信はログ監視を行い、たとえ侵入されたとしても、被害の横展開を阻止できるような対策を行うことが何よりも重要だと感じている。

　外部からの通信やデスクトップの画面を遠隔操作するRDP（リモートデスクトッププロトコル）、リモートでのメンテナンスの利用では、接続申請や作業内容、通信時間などを管理しておくべきだ。また、「管理者権限」の使用はシステムの保守などに限定し、日常業務は標準ユーザーのみで運用すれば、インシデントが起きた時にリスクを局所化できる。

　インシデント発生の早期把握も非常に重要だ。病院やシステムの規模、人員体制、インシデントの発生時間などによって考え方が大きく異なるため、一概にはいえないが、不自然な挙動が確認された場合の連絡窓口を、まず院内に周知しておくべきだろう。

－インシデントの発生を確認した後、大阪府や府立病院機構本部、警察署、市保健所、厚生労働省、内閣サイバーセキュリティセンター（NISC）などに連絡したということですが、それらの連絡先は日常から把握していましたか。

　厚労省医政局やNISCのほか、所轄警察・自治体・保健所の電話番号などを確認し、定期的に更新するといいだろう。私たちの場合、機構本部、警察署、市保健所などへの連絡は普段から密に行っているので問題はなかった。

　ただ、厚労省やNISCへの連絡が必要だとは認識していなかった。

（残り1990字 / 全3186字）

「サイバー攻撃を受けた病院が伝えたいこと〈下〉－インシデントを防ぐのに必要な対応」は、31日午前9時に配信予定です。