導入事例

国内で相次いだ医療機関でのランサムウェア被害
「明日は我が身」侵入前提の対策としてAppGuardを採用

医療業

埼玉医科大学病院 様

規模：病床約3,000床

この数年、国内の医療機関ではランサムウェアの被害が相次ぎ、最悪のケースでは長期にわたって通常の医療行為を停止せざるを得ない事態にまで追い込まれました。埼玉医科大学病院は、この深刻な事態を目の当たりにして、「クローズドネットワーク」の神話に頼ったセキュリティ対策から脱却し、ゼロトラスト的なアプローチを模索。侵入されることを前提に、それでも暗号化されない対策として「AppGuard」を導入しています。

侵入されることを前提に、効率的な対策を模索しAppGuardを選定

電子カルテシステムなど病院の中核を担うシステムが使えなくなれば、連携する他のシステムも通常通りに利用できずに診療行為が止まり、地域住民に大きな影響が生じます。加えて、診療報酬請求も行えなくなって医療収入が止まり、そもそも病院経営が立ち行かなくなる恐れもあります。
この深刻なリスクを踏まえ、埼玉医科大学病院では、自分たちの病院、自分たちの医療を止めないためのセキュリティ対策を最も高い優先度で検討し始めました。
「それ以前のシステムは、インターネットとは接続していないクローズドネットワークの神話に頼っていました。端末にウイルス対策ソフトを入れてパターンファイルを更新していく程度でも十分だろうと考えていましたし、医療系システムを提供するベンダーもそれでOKという姿勢でした」（埼玉医科大学病院　情報システム部　課長補佐　馬場秀泰氏）
しかし、国内の複数のインシデントが示した通り、外部につながっていないと思われていた環境でも実は接続されていることが明らかになってきました。「クローズドと言っても、実際にはメンテナンスのためにリモート接続回線をつないでいたりします。インターネットに接続していることを前提としたサイバーセキュリティ対策が必要だと考えました」（馬場氏）。いわゆるゼロトラスト的な考え方で対策を進めることにしたのです。
対策を検討するに当たって重視したポイントは二つありました。「第一は、侵入されることが前提の対策を取ること。第二に、限られた予算内での効率的な対策を取ることです」（馬場氏）
メディア報道を受けて、情報システム部には次世代アンチウイルスソフトやファイアウォール、EDRやNDRなど、さまざまなセキュリティ製品の提案が押し寄せていましたが、予算の面からも、全てを導入するのは不可能です。そこで埼玉医科大学病院では二つの原則に照らして、重要度の高い対策を実施することにしました。
一つ目は、仮に侵入されてシステムを暗号化されてもすぐに復旧できるようにするバックアップです。二つ目は、その際、ホームページなどを通して説明責任を果たせるようなログの見える化です。三つ目は、セキュリティ対策の底上げにつながるエンドポイントセキュリティの強化で、その手段として選んだのが「AppGuard」でした。
エンドポイントのセキュリティ対策というと、悪意あるものを検知するウイルス対策ソフトのイメージが強かったと言います。「初めてAppGuardの説明を聞いた時には、侵入はさせるけれども、怪しい動きをした時点でその挙動を止めるという今までにないアプローチであると知り、『そんな考え方があるのか』と衝撃を受けました」（馬場氏）
イベントログを収集して見える化するEDRも検討しましたが、「分析の結果、おかしな振る舞いが見つかったとして、それを止めるのは我々情報システム部のスタッフの判断に委ねられます。その判断を瞬時に下すだけの高度な知識はありません。それよりも、はじめから暗号化されなければいいという観点からもAppGuardに決定しました」（馬場氏）

当初は難色を示された部門システムへの導入も、トラブルなく順調に

国内で続々とランサムウェア被害が発生している中、埼玉医科大学病院は、それまでも利用していたアンチウイルス製品で既知の脅威に備えつつ、AppGuardで未知の脅威にも対処すべく導入を進めました。
導入は毛呂の埼玉医科大学病院からスタートしました。電子カルテシステムのクライアントを対象にインストールし、3〜4ヶ月程度運用して感触を掴んだ上で、総合医療センター、国際医療センターへも広げていきました。さらに、部門・診療科主導で導入してきたため情報システム部にとって一種のブラックボックスとなっていた検査や薬剤、給食などのシステムのクライアントにも導入を広げ、2023年度から1年3ヶ月程度かけて、3病院約3000台への導入を進めていきました。今後はさらに、電子カルテベンダーが導入したサーバにも導入を広げようと検討しています。
「電子カルテのクライアントについては、情報システム部で管理していることもあり、特に何の問題もなく導入できました。ただ、部門システムへの導入は大変でした」（馬場氏）
といっても、技術的なトラブルがあったわけではありません。大変だったのは、部門システムを納品しているベンダーの説得でした。
「どのベンダーも、パッチを当てることにすら抵抗します。新たにAppGuardを導入することを周知し、相談した際も『もしそれで何か不具合が出た時に、どう責任を取るんですか』という反応が返ってきました」（埼玉医科大学総合医療センター　情報システム部　係長　大久保英紀氏）
Blue Planet-worksの協力も得ながらAppGuardの挙動を説明し、適切にチューニングすれば、既存のシステムに手を加えることなくそのまま使えることを理解してもらいました。また、現にランサムウェアによる被害が多発していることも踏まえ、どちらのリスクを回避すべきかを議論し、AppGuard導入の了解を取り付けていきました。
このように導入前こそ説得に苦労したものの、いざインストールし、動かし始めてみると案ずるよりも生むが易しで、拍子抜けするほど順調に運用できています。「懸念したようなトラブルもなく、ほっとしています」（大久保氏）
ひとたびAppGuardが問題なく動作することがわかってからは、ベンダー側から事前に「近々バージョンアップを行いますが、AppGuardで検知される可能性があるので、このように設定してください」といったやりとりを行い、スムーズに回るようになっているほどです。

安定した医療の提供という使命を果たすため、引き続きセキュリティ維持に取り組む

AppGuardの導入以降、想定していなかったポジティブな副作用として、これまで管理しきれていなかった、部門システム端末でのUSBメモリの抜き差しも制御できるようになりました。
ポリシーのチューニングは、3病院、15名の情報システム部で自分たちの手で行っています。時間がかかることもありますが、「自分たちでメンテナンスをすれば技量も高まるし、知識も深まりますから、まず僕達でやってみようということで外部委託にはしていません」（埼玉医科大学国際医療センター　情報システム部　田花武仁氏）。何をブロックし、何を解除すべきかの見極めを、Blue Planet-worksの助言を得ながら進め、引き続き自力で運用していきます。
相次ぐランサムウェアの被害を背景に、AppGuardの導入はもちろん、バックアップシステムの整備やログの収集といった技術的対策、そしていざという時に備えたマニュアルの整備など人・組織面での対策を進めている埼玉医科大学病院。「我々には、患者さんに安定した医療を提供するという使命があります。その期待に応えられるよう、安定して医療を届けられる体制をセキュリティも含めて維持していきたいと考えています」（佐藤氏）

PDFをダウンロードする