令和4年3月に厚生労働省は、近年のサイバー攻撃の手法の多様化・巧妙化してきている中で、医療機関等を対象とするセキュリティリスクが顕在化していることへの対応等を目的として、「医療情報システムの安全管理に関するガイドライン 第5.2版」を策定しました。
この中で、以前の版には登場していなかったランサムウェアに関し、多くの記述が追加されています。ランサムウェアは、IPAの組織の「情報セキュリティ10大脅威 2022」で1位となっており、被害が多いランサムウェアに代表されるサイバー攻撃への対策は、喫緊の課題となっており、医療以外の業界でもこの内容はたいへん参考になります。その中で、ランサムウェアによるサイバー攻撃を受けた際の対応では、外部ネットワークの一時切断、被害確認のため業務システムの停止、バックアップからの復元について解説されています。規模によって、バックアップ方法を一様に指針することは困難としていながらも、全ての情報をバックアップから復元するのではなく、ある程度のリスクを許容することで運用し易くし、確実な運用ができるバックアップが必要だとしています。
具体的には、ランサムウェアの場合、データ自体を利用不能にするのでバックアップデータにまで影響しないよう、バックアップ先である電磁的記録媒体等の種類、バックアップの周期、世代管理の方法、バックアップデータを保存した媒体を端末やサーバ、ネットワークから切り離して保管することなどを求めています。たとえば、日時バックアップしているケースでは、数世代のバックアップを取得し、少なくとも3世代目以降は、ランサムウェアの被害がおよばないように、ネットワークを通じた書込みができない状態にするような対策が必要です。このように、重要なファイルは、複数世代のバックアップが必要ですが、更に書込みできる媒体以外にも、追記不能な設定ができる媒体の組み合わせや、ネットワークから切り離した媒体の保管ができる方式を採用することがポイントのようです。
但し、ランサムウェアは、他のマルウェア同様にかなり以前からネットワーク侵入している可能性もあるため、インシデント発生時に安易にバックアップデータから復元すると、既に数世代前のバックアップデータにまで不正ソフトウェアが混入されている可能もあるため、さらに被害を拡大してしまう恐れも指摘しています。こうしたことから、不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCPとして定め、ランサムウェアのサイバー攻撃を想定した訓練も重要だとしています。
医療は、人の命に関わる重要なデータを取り扱っているため何物にも変えられないことを知られているので、特にランサムウェアの被害が多いです。
そして、サイバー攻撃はどの企業にとっても他人事ではありません。それゆえ医療情報システムのサイバー攻撃対策を参考にしてバックアップ体制を整えることは、どの企業もとっても有益になるはずです。
ランサムウェアに対応したバックアップが必要