本文へ移動

大阪急性期・総合医療センターのランサムウェア被害から学ぶ医療DXのサイバー対策

医療DXランサムウェア医療機関サイバーセキュリティサプライチェーンリスク外部接続管理BCP監査ログ
段階起きたこと
1委託先や保守経路側の機器・認証情報が侵入口になり得る状態だった
2委託先側のシステムや認証情報が探索された
3病院と委託先を結ぶ通信経路を通じて病院側へ侵入した
4病院内の他サーバーや基幹システムへ横展開した
5電子カルテ、医事会計、部門システムなどがランサムウェア被害を受けた
現場でよくある状態リスク
電子カルテやレセコンを外部ベンダーがリモート保守している保守経路が侵入口になる
VPN機器やルーターの管理者が不明確脆弱性対応やログ確認が放置される
薬局、配送、決済、受付システムと連携している連携先から横展開される可能性がある
委託先のセキュリティ状況を確認していない自院ではなく委託先から侵入される
管理者IDやパスワードが共通化されているひとつ漏れると複数システムへ影響する
バックアップはあるが復元テストをしていない攻撃後に復旧できない
項目明文化したい内容
脆弱性管理VPN、ファイアウォール、OS、ミドルウェアの更新責任者
リモート保守接続方法、接続時間、承認手順、ログ取得
認証MFA、個人別アカウント、共有ID禁止
監視誰がどのログを見るか、異常時に誰へ通知するか
インシデント対応初動、連絡先、証跡保全、復旧優先順位
BCPシステム停止時の代替運用、紙運用、患者対応
再委託再委託先の管理、セキュリティ基準、通知義務
設計目的
サーバ側を状態の正とするUIの誤操作や通信断で業務状態が壊れないようにする
RBAC・最小権限医師、薬剤師、施設スタッフ、本部管理者の操作範囲を分ける
監査ログ誰が、いつ、何をしたかを追えるようにする
Outbox / Worker外部連携をAPI処理から分離し、再送できるようにする
Retry / DLQ失敗した連携を消さず、復旧対象として残す
WorkItem化例外を誰かの作業として可視化する
Idempotency二重決済、二重発送、二重状態遷移を防ぐ
BCP前提の運用完全停止ではなく縮退運用できるようにする