当ブログでも取り上げ多数のアクセスがありましたが、昨年11月末、徳島県の町立病院がランサムウェアの攻撃に遭い、診療業務がストップした事件があったのは記憶に新しいと思います。バックアップデータからの復旧などいろいろな復旧を試みたものの回復せず、しばらくして紙のカルテを復活させて予約した患者さんのみ限定で診察を再開しました。当時、病院にはこんなお知らせが張られていました。
現状復旧をするからお金を払えというランサムウェア攻撃でしたが、払えば払ったで『金が取れる病院』ということになり、次々と要求がエスカレートすることが予想されました。病院を運営する町では復旧せず紙カルテで診察を再開すると共に、新しいシステムを導入することを決断しました。これは英断だと思います。
これ以外にも医療機関が攻撃を受けたケースがあったため、厚労省は診療データを院内のネットワークから独立して保管(バックアップ)するよう指針をだしました。バックアップサーバを院内のネットワークから切り離すというものです。
外部からの不正侵入を防ぐために医療機関では院内のネットワークを外部から切り離して運用するのが一般的です。しかし、リモートメンテナンスのためにバックドアを設けているため、完全に切り離されているわけではありません。もちろん、バックドアを開けるためには十重二十重に厳重に施錠された鍵を開けなければならず、侵入することは容易ではありません。しかし、悪い方に頭の良い連中がいて、調べ回って開錠のための情報を入手してしまう場合があります。米国の国防総省という山の様な機密情報を持っている警戒厳重なところでさえ侵入されたことがあるというのだから、侵入を0にすることは難しいでしょう。
何らかの方法で開錠情報を入手したハッカーは、院内ネットワークに侵入して悪さをしようとしますが、大概ウイルス対策ソフトによって検知され、ブロックされてしまいます。
しかし、ウイルスチェックのパターンファイルにない新種のウイルスの場合には引っかからずに成功することもあります。その場合にはウイルスは手あたり次第に感染を広げ、アプリケーション、データを使えなくしたり、操作を妨害したり、画面の表示を変えてしまうなど、やりたい放題です。こうならないようにウイルスチェックのツールは常に最新にしておく必要があります。OSも侵入されやすい脆弱な処理を見つけると侵入されないようなパッチ(修復処理)を配布し、updateするよう促します。まずは、防御のための仕掛けを最新にしておくことが基本です。しかし、この様にしていてもそれを上回る攻撃で侵入する機会を狙っているハッカーが世界中にいて、虎視眈々と侵入のための情報収集をして糸口を見つけては侵入を試みているのが現状です。そこで、上述のように厚労省は院内ネットワークから切り離したバックアップサーバを使えとの指針を出したわけです。
それは一理ありますが、院内ネットワークから切り離したサーバでも、そのサーバが管理するデータは最新の状態になっていなければならないことを如何にして保証するか?院内ネットワークにつながっていないので、リアルタイムな更新はできません。では、何時やるのでしょう。大概は、診療が終わり、外来患者がもう来ない状態になり、データが更新されないことを確認した時点で、院内ネットワークに接続された運用サーバからバックアップサーバにデータを転送しupdateすることになるでしょう。これによってバックアップサーバにあるデータは当日の最新状態になります・・・が、ここで良く考えてみましょう。
①院内ネットワークから切り離されているサーバに接続する際の問題
院内ネットワークから切り離されているサーバにデータを転送するには、一時的にせよ転送する際に院内ネットワークと接続しなければなりません。ということは、もし院内ネットワークにウイルスが侵入し感染を広げていた場合には、転送の際に感染したデータも一緒に転送され、院内ネットワークとは切り離して運用していたサーバ内のデータが、感染したデータでupdateされてしまうことになります。もちろんウイルスも一緒に入り込むので、サーバにあるupdateに関係のない全てのデータも感染してしまいます。そうならないために、転送前に転送するファイル(データ)をウイルスチェックにかけます。これで既知のウイルスだったらバックアップサーバのデータへの感染を防ぐことができますが、未知のウイルスだった場合にはお手上げです。また、一時的に接続されるイベントを検知して侵入する機能を持ったウイルスだった場合、サーバに置いてあるバックアップデータはこのウイルスで汚染されてしまい、用をなさなくなります。
②診察終了≠当日の最新データ
個人のクリニックならともかく、入院患者がいる有床の病院の場合には、夜間勤務があり当直医師、看護師が電子カルテはじめ、治療に必要な情報を参照し、必要に応じて更新します。夕食をだす給食室、栄養士室、薬剤室なども使うかもしれません。そうなると・・・何時の時点でバックアップサーバに転送するのかのタイミングが難しくなります。
③確実だが面倒くさい方法
通常運用しているサーバからupdateに必要なデータをウイルスチェックした後、可搬型のHDD、SDDにセーブし、これを物理的に独立しているバックアップサーバに接続して最新の状態にするという方法もあります。バックアップのためにネットワークに接続することがないので、これなら感染することはありません。ただし、とても面倒です。
厚労省の指針はこの辺をどう考えているのでしょう?
※質問はosugisama@gmail.comにどうぞ!
※リブログを除き、本ブログの無断転載、流用を禁じます。