セキュリティインシデントについて考えてみる(電子カルテのランサムウェア感染について)
~はじめに~
まず、何点か言いたいコトを書いていきます。
私は多くの病室に無料WiFi設備を整備して頂きたいと思っています。
その上でそこに立ちはだかる課題に関しては
一つずつ考えていきたいと思います。
世の中には0or100なんて話は滅多になくて、利益というものは様々です。
だから、総見的視野を獲得する為にも実際に起きたケーススタディから学んでいきたいと思います。
そして、今回のケースに関わり亡くなられた方がいらっしゃる事実を知りました。亡くなられたご本人やその家族にご冥福をお祈り致します。
私が以下に記載する内容はweb上で得られる情報でしかありません。
実際に違う可能性もあります。
ただ、一点。
上記に述べたように病室にWiFiを整備する上でどういう課題があるかということを検討する際に事例から学ばせて頂きたく、発生事例の内容をまとめさせて頂きます。
今回の内容の関係者、お亡くなりになられましたご遺族などに何か意図的を持って記事にしている訳ではないことをご理解いただけますと幸いです。
~市立病院の電子カルテに影響するランサムウェア被害~
奈良県の宇陀市立病院は2018年10月23日に電子カルテシステムがランサムウェアに感染したことを発表しました。
これは国内の病院では初のランサムウェアによる被害とのことです。
この事例から色々と学んでいきたいと思います。
まずはこんな説明から
「何??電子カルテって」
電子のカルテ。。わかるようーなわからないようーな。
「何??ランサムウェアって」
昔、「ハンサムスーツ」って映画が。。
ごめんなさい、今回ふざけるのはもうやめます。
・電子カルテ
電子カルテとは、医師が診療の経過を記入していた紙のカルテを電子的なシステムに置き換え、電子情報としてデータベースに記録する仕組み・またはその記録のころだそうです。
日本では、2001年12月、e-Japan構想の一環として厚生労働省が策定した「保健医療分野の情報化にむけてのグランドデザイン」において、「2006年度までに全国の400床以上の病院および全診療所の6割以上に電子カルテシステムの普及を図ること」が目標として掲げられました。
厚生労働省の資料からみるとこの電子カルテシステムは平成29年で一般病棟には46.7%で導入されており、400床以上の病院では多くの病院に普及されています。
この電子カルテシステムは情報の秘匿性を担保する必要があり、
厚生労働省の安全管理のガイドラインにおいても電子カルテの運用に関しては記載があり、更新されて続けています。
なのでこの電子カルテはシステム的にも物理的にも厳しく運用されております。
とりあえず電子カルテの説明は以上で、ランサムウェアの説明に移ります。
・ランサムウェア
警察のホームページに説明文がありました。
Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた言葉です。
コンピュータウイルスやワームなどが世の中にはあって、
クライムウェアとかスパイウェアとかとか色々な言葉があります。
昨今、このランサムウェアが多くなっているそうです。
ちょっとここを掘っていくと大変なので簡単いうとコンピューターをウイルスに感染させ、暗号化などを行い、使用者のアクセスを制限させて、制限を解除させるために身代金を要求するという一連の流れを目的とするウイルスです。
もう少し詳しく知りたい方はwikiなどをご覧ください。
と2つの説明を終えて、本題に戻っていきます。
~電子カルテのランサムウェアによる被害発生~
2018年10月16日から2日間、電子カルテシステムがランサムウェアに感染したことで利用が出来ない事態が発生しました。
電子カルテシステムにウイルスに感染し、システムデータが暗号化されたことや、バックアップが正しく取得されていなかったことから、システムを停止し、電子カルテシステム他、影響のあったシステムの再構築を行ったため、2日間このシステムが全面停止しました。
なお、システム停止期間中は紙カルテにより診療を継続しました。
ここからは
宇陀市のまとめた宇陀市立病院コンピューターウイルス感染事案に関する「報告書」にある記載内容に沿って書かせて頂きます。
・時系列
2018年10月16日
5:40
職員が、電子カルテシステムが使用出来ない状況であることに気づき、システムベンダーに連絡しました。
8:00
システムベンダーの担当者が確認し、サーバ画面にウイルス感染を示すメッセージの表示を確認したため、システムを全面停止し、ネットワークからの物理的遮断(コンピューターの LANケーブルを抜く)を実施する。
17:30
病院長は、システムベンダーから、再セットアップによる復旧見込みが約2日間を要するとの報告を受け、安全を確認して復旧するとともに、証拠保全するようにシステムベンダーに指示、
復旧に必要なバックアップデータ作成に必要な磁気テープが、装填されていなかったことが判明した。
2018年10月17日
12:00
部門システムベンダー各社によるウイルスチェックの終了及びウイルス除去が終了する。
20:30
ネットワークモニタリング監視のため、監視センサーを設置する。
2018年10月17日
7:00
サーバ、クライアントパソコンを個別にウイルス除去し、再セットアップが完了する。
各部門システムのウイルス感染状況調査と感染したウイルスの除去作業を完了させ、安全確認を行うとともに再発防止のために最新のウイルス対策ソフトをインストールする。
監視センサーの設置及びSEの待機、データバックアップ機能の強化により安全運用が確認でき、電子カルテシステムの運用を再開する。
~問題は何処にあったのか?~
電子カルテシステムは一般的なパソコンのネットワークとは違い、外部とのネットワークとは分離されています。
先に述べたように厚生労働省からはセキュリティガイドラインが設けられておりそれに順じたネットワーク構築を行います。
パソコンにウイルスが侵入する際にはどういう可能性があるのでしょうか?
例えば、
インターネットからウイルスは侵入する可能性があります。
何かCDからソフトをダウンロードしたら感染するかも知れません。
bluetoothだって、wifiだって、どんなもんだって接続すれば感染するかも知れません。
いや、もし何も接続していなくても購入したパソコンが2年後に壊れるプログラムが最初から組み込まれていたらそれでも感染するかも知れません。
怖い。怖すぎる。
人間ってこういう事象に大変脆弱です。
自分に知識や関心の少ない事象や、無機質的な事象に関して不思議と人間は功罪を評価すること以上に、怖がってしまったり、保守的になってしまいます。
現在あるようなものでは、感染症や放射能、電磁波などは目に見えません。
物質的なものは怖がり方が分かるのですが、目に見えないからこそより怖さを感じるんです。
でも、その気持ちに押しつぶされて事象をしっかりと見ないと余計に見えなくなってしまうことがあります。
報告書に書いてある内容に目を戻してみます。
その後、病院職員やベンダーに対する調査を行い以下のことが分かりました。(重要かなと思う部分を太字にしております。)
・ランサムウエアの種類は「GandCrab」であり、身代金の要求には応じていないこと
・電子カルテを含む診療部門システムサーバ 4 台、診療部門端末 2台、ウイルス対策サーバ 1 台、看護部門サーバ 1 台が感染していた。
これらのサーバ、端末は、本来、外部のネットワークに接続していないはずだった。
・監視センサーにより通信を監視しているLANにおいては、外部への不正通信および感染拡散は確認されなかった。
・外部からのネットワーク経由で電子カルテの管理端末を経由して院内に侵入し、電子カルテサーバを暗号化した可能性が高い。
・どのようにして端末に侵入したかは当該端末を初期化されていたため経路の追跡ができなかった。
・暗号化された電子カルテデータは、2019年3月に復元し、現在は全ての電子カルテデータが参照できる状態になっている。
・電子カルテシステムの復旧を優先する一方、システムログの保全を行わな
いままシステムの再セットアップを行ったことで、正確な原因究明ができない状況になった。その結果、個人情報の漏洩の有無について、明確に否定することが不可能な状況である。現況で個人情報の漏洩あるいは悪用されたとの被害報告はない。
・病院職員及び電子カルテシステムベンダーへの聞き取り調査では、どこからも原因となり得る操作、行為は確認できませんでした。
ウイルス拡大を防ぐのにログを保全せずにシャットダウンしちゃって、正直原因がわからない。外部ネットワークとは接続していないのに外部からウイルスが入って感染してしまった。
↑こんな感じでしょうか。
・有識者会議からの見解
有識者会議からは以下のようなことが言われています。
・基本的なルールを守らなかった結果、外部と接続されないはずの医療情報システムが外部と接続された状況になり、ウイルスの侵入・感染に至った可能性が高い
・システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況になった点については、事案発生時の初期対応が不適切であり、証拠保全の観点が欠落していた。
・院内のネットワークにおいてもウイルス攻撃を許したシステム的な予防対策が不十分であった
・原因
・インターネットに接続していない環境に、病院職員もしくは委託業者などの誰かが、私物のパソコンもしくは Wi-Fi ルータを持込接続した可能性が考えられ、何らかの「ルール違反」を犯してインターネットに接続し、何らかの方法により外部からの侵入を許してしまった。
・医療情報システムの導入にかかる業者の管理や障害時対応の適切な運用体
制が構築、運営されておらず、監督すべき病院のガバナンスに問題があった。
~セキュリティインシデントはなぜ起こるのか~
今回の事案を参照させて頂き、大きく分かったコトがあります。
IT上で発生することは人間からしてみて未知のことが起こっているように感じてしまうのですが、そんなことは全くありません。
問題が発生する理由はPCやサーバー側から発信される訳ではなく、
起因は「人」にあるということです。
「使う人の知識とIT業者の努力」
会社に所属していると色々な規則というものに出会うと思います。
仕事していなくても、法律でもなんでも良いです。「決まり事」
その決まり事は表面的な理解が必要な訳ではなく、そこにある文面は何故書かれているのかを理解することが大事です。
よく会社で貸与されているものなどは
「外部機器に接続することを禁止します」
とかそういうのあるじゃないですか。
「禁止していること」を理解することではなく、
「何故禁止をしているのか」を理解することが大事です。
これはこの理解がその組織体の中で高まれば高まるほどに
条件が緩和される傾向にあります。
実際に小規模の事業体よりも、大規模な事業体の社内規定が厳格化されるのはこの論理が適用されるからです。
そして、色々な所で個人情報は利用され、管理されています。
医療機関はその個人情報を普段の業務で使う機会が多く、情報にアクセスする回数が他の業界よりも多い為に厳格な管理を求められています。
そしてそこに関わるIT業者(ハード、ソフトとも)はその業界の必要なネットワーク構築をクライアントとともに常に向上させていく必要があります。
セキュリティインシデントは何故起こったのか?
↑今回の事案で把握したことは人が起こしたのです。
知識の希薄な相手を狙って、犯罪を犯すのが犯罪者の論理です。
犯罪行為はよくないです。
昨年もこんなニュースがありました。コロナウイルスに感染したことを確認するためか、治療に関係の無い医療関係者が電子カルテを閲覧した事例が発生しております。
技術力がどれだけあろうがそれを利用する人間が知識を得なければいけません。
青森の件で分かることはこのシステムはログ(履歴)が見れたことにより調査が出来ました。知識の蓄積がセキュリティの強化に繋がる状況を作ります。
ユーザーとデベロッパーの両方の知識が向上することがセキュリティを維持する一番の解決方法です。
これはお金をいくら積んでも解消するものではありません。
人のたゆまぬ努力と関心を持ち続けることです。
~おわりに~
「では、使わなければ良い。」
そんな訳はありません。
車は人を轢いてしまうリスクもありますが、人を助けるメリットもあります。
火は火事になるかも知れませんが、
生活には必須のものです。
医療における通信環境も同じです。
セキュリティインシデントが発生するリスクもありますが、享受できるメリットは大変多くのものがあります。
リスクとメリットを対比する必要はありません。対義語ではありません。
対義語ではないのですから両立が出来るはずです。
リスクを少なくしてメリットを受ける。
それは努力をし続けることで達成する、人間の進化論です。
良い環境を作り上げていく努力を皆で作っていくことで後生に少しいいものを残せるのではないか。
そう思っています。
追記:
今回の件を調べていく上で一つの事件を知りました。
この感染問題が発生した後に異動しこの問題の対応する担当になったそうです。
その中で、パワハラを受け自殺に至ったそうです。
報告書を見ると大変悲しい内容でした。
理解はITの分野に限りません。
医療に限らず人は何故仕事をするのでしょうか?
昨年病気になり、現在休職中の身ですが、この根本的な課題に直面します。
私は
私腹を肥やす為に仕事はするつもりはありません。
もちろん、生活の為に必要な仕事はイヤな事でもしていきます。
でも、そこには倫理があり、チームであれば個人よりもチームで成果を求めます。
そしてなにより、
遠くの存在よりも、まずは近くにいる人を幸せにすることを仕事を通じて実現したいと思います。
私の同僚で尊敬している人間がいます。
仕事で悩んでいる後輩がいました。
その同僚は事務所にいた8人を集めてLINEのグループをその場で作りました。
後輩はそのグループにいつでも悩みを入れ、8人が何かしら答えるというLINEグループでした。
この行動力カッコよくないですか?
今、この瞬間でも身近な人に寄り添うことが出来る。
一つでもある。
そんな社会体が小さくも沢山出来れば、
大きな大きな素晴らしい社会が出来るのではないかと僕は信じています。
長々と失礼致しました。
今回の内容は面白い内容ではありません。
でも、知っておきたい内容だったので、調べながらnoteにしてみました。
それではさよーならー。