なぜ医療機関はランサム対策に乗り出せない？　地方病院が語る“根深い課題”

　一つは診療報酬制度のマイナス面の問題だ。診療報酬制度はサービスを受ける立場とっては、どの病院でも同じ費用で診療が受けられるプラスの側面がある。一方で医療機関にとっては、どんなに良いサービスを提供しても、もらえる金額は一定で、病院側で料金設定もできない。つまり、利益を生まない職種やサービス以外に投資をするのが困難になっている。

　「システムを設計構築し、安全に維持管理するには、根本的に専門の人材が必要です。そこにきちんと診療報酬が付かず、立場が確立できなければ採用や育成は進みません」（田代氏）

　もう一つは公務員の人事制度が抱える弊害だ。市立病院や都立・県立病院などの公立病院に勤務する職員は、医療免許を有する職員と、一般公務員から構成され、どちらも地方公務員扱いになる。田代氏によると、公務員は数年ごとのジョブローテーションが発生するケースが基本のため、医療に不慣れな一般公務員がいきなり病院のIT担当になったり、全く関係のない業務についたりすることがあるという。

　田代氏は「病院においても、ITの世界は、現場と技術に触れ続けることが重要です。しかし、多くの公務員の制度では、専門性の高い業務に関してスキルの定着を図るのが難しい実態があります。元のIT担当に戻れたとしても数年もブランクがあれば“浦島太郎”状態になり、知識やノウハウの再構築には多くの時間を要するでしょう」と指摘する。

　病院のITやセキュリティの推進にも超えるべきハードルが幾つかある。上記に関連したものでいえば、腰を据えてシステム構築に取り組もうにも、ジョブローテーションによってノウハウを持つ担当者が不在になってしまう問題がある。

　この他、事業の理解や企業の構造を理解していなければシステム導入・運用はうまく進まないという課題は病院でも同様だ。現場を知らない職員やエンジニアがいくら働きかけても取り組みは前進しない。

　「最近は、医療免許や関連資格を有する人材を病院ITの専門職として採用する流れが都市圏の病院は進んできていますが、地方は先ほど言ったとおりです」（田代氏）

　また、田代氏によると、全国の大病院は約7年周期で病院全体のシステム更新を実施する。この際、標準的な病院総合情報システムの構成は、電子カルテシステムを中心として50〜100の専用部門システムから成るケースが多いという。専用部門システムには多数の異なるベンダーが入るので、対応の複雑化を招いている。

「診療の継続」を最重要としたとき、限られた予算をどこに投じるか？

　「ヒト」と「カネ」、そして「システム」という三重の制約がある中、どうにかしてITやセキュリティを推進しなければならないのが医療機関の現状だ。では大分県立病院はこれにどう取り組んだのか。そのきっかけは2018年に発生した奈良県の宇陀市立病院におけるランサムウェア被害事案だった。

　病院のランサムウェア被害事案としては徳島県の半田病院や大阪府の大阪急性期・総合医療センターの事例が有名で、これをきっかけにセキュリティ意識を改革したという企業も多いはずだ。宇陀市立病院の事案はこれらの数年前に発生しているため大分県立病院は比較的早いタイミングで危機感が芽生えていたことになる。

　田代氏はこれについて「宇陀市立病院のランサムウェア事案が起きた翌年2019年から、当院は2023年に控えるシステム更新の準備を始めました。その際、同院の調査報告書を読んで、システムを使えなくなるケースに強い危機感を覚え、経営層に相談した結果、理解を得て対策を進められました」と話す。

　しかし経営層の中にはセキュリティをコストと捉え、積極的に投資することにためらうケースもあるだろう。このような反発はなかったのか。

　田代氏は「病院執行部の多くの医師はリアリストです。限られた予算をどこに使い、これによってどのような効果を得られれるのかをきちんと説明できれば納得してもらえます」と強調する。

　では限られた予算をどこに投じるか。田代氏は、次に発生した「つるぎ町立半田病院」の報告書で「バックアップはあったが復旧に数カ月を要した」という点に着目したという。

　「セキュリティの基本は『機密性』『完全性』『可用性』です。予算には限りがあるため、これらの中でもどこにフォーカスするかが重要です。当院は、ランサムウェア対策という観点で完全性と可用性を重視しました。誤解を恐れずに言えば、病院が最も力を入れるべきは『診療の継続』であって『データを守ること』ではありません。もちろんデータの保護なくして事業は継続できませんが、『つるぎ町立半田病院』と『大阪急性期・総合医療センター』の事例では完全性や可用性を失ったために事業継続が困難な状態に陥っていました」（田代氏）

　田代氏は「平たくいえばトラブルを未然に防ぐより、トラブル発生を前提に元の環境に戻す仕組みに投資した方が汎用性が高いと判断しました」と話す。また、機密性を確保するような、EDR製品やDLP製品、ウイルス対策製品などを運用する際にはリソースもかかる。この判断に至るには病院側で十分なセキュリティ人材がいないことも関係していたという。

　「診療報酬制度などの法令根拠がないため、役所的慣習の強い国公立病院や役所に多い話ですが、独自の判断にはハードルが高く、理想論の“しゃくし定規”な対策になりがちです。人の採用や本件のような対策を提案しても許可を得ることは難しいかもしれません。『感染することを前提にではなく、感染自体を防げ』と言われると思います。その意味では、現実主義でロジックを優先する当院経営層だったからこそ、この対策が進められたのだと思います」（田代氏）

3本柱で強固なセキュリティシステムを構築

　大分県立病院の具体的なセキュリティ対策を見ていこう。同院は、ユーザーの権限設定や業務エリア、システム、用途に応じたネットワーク区分や、FW機器の定期アップデートといった基本的な対策を徹底しつつ、以下の3本柱で強固なシステムの構築を図った。

　具体的には、2についてはバックアップ機能の多重化とイミュータブル機能の適応、3についてはシステムの仮想化とスナップショット／レプリケーション技術の適応を実施した。サイロ化していた部門システムとバックアップ環境を単一の仮想基盤に集約し、その仮想基盤にNetAppのストレージシステム「NetApp AFF A250」および「NetApp FAS2720」を採用したという。

大分県立病院におけるバックアップシステムの全体イメージ（出典：大分県立病院の発表資料）

　田代氏はこのシステムのメリットとして以下の3つがあると話す。

　1つ目は復旧スピードだ。メインのストレージであれば約2時間で復旧可能で、もしメインストレージが被害に遭った場合でもバックアップサーバから約2日で復旧できる設計になっている。

　2つ目はイミュータブル環境の多重化と構築コストだ。イミュータブル環境の多重化はNetApp製品の標準機能で実現できるため特別なオプションは不要だ。スナップショットのイミュータブル設定は管理者であっても変更ができないものを適用しているので完全性を確保できる。

　3つ目は仮想化技術による耐障害性の向上だ。仮想化したシステムに障害が起こったときに安全なクラスタ領域に移動して、自動的に稼働させている。

　一方で課題もある。田代氏は「標準的なスナップショットやレプリケーション機能に対応できないソリューションが一部存在しています。また、仮想アプリケーションやOS、ミドルウェアなどのライセンス体系が変更になり値上がりしてしまうと病院にとっては大きな打撃です。ライセンスの高騰に合わせて診療費を独自に値上げするのも不可能ですし、使えるセキュリティ予算もシビアな実情があります」と述べる。

　基本的なセキュリティ対策に加えて、強固なバックアップ環境を構築した大分県立病院。今後のセキュリティ展望はどうなっているのか。

　「AIを悪用したサイバー攻撃が活発化する今、防御側にもAI活用が求められると思っています。ただ、AIを活用したソリューションの運用や管理は誰がするかというと結局は人間です。病院側のセキュリティ体制が貧しければソリューションをうまく活用できない可能性が高いでしょう。安全な医療環境を維持するためにも院内でのセキュリティ人材育成は今後注力していきたいですね」（田代氏）