病院のランサムウェア対策はどこまで進んでいるのか - プログレス・ソフトウェアが実態調査

4月 19, 2023 セキュリティとコンプライアンス, MOVEit

病院を狙ったランサムウェア攻撃が相次いで発生したことで、医療機関のサイバーセキュリティへの関心が高まってきています。

例えば、2022年10月に起きた大阪の病院に対するランサムウェア攻撃では、電子カルテが利用不能になり外来診療などの業務が停止、バックアップデータを使ってシステムを復旧するのに2カ月を要しました。深刻な被害の状況が詳しく報じられたこともあり、プログレス・ソフトウェアがランサムウェア対策ソリューションとして展開する「Flowmon ADS」を扱う代理店(SIer)には、これまでにないほど多くの問い合わせが寄せられているとのことです。

では、病院でのランサムウェア対策は実際にはどこまで進んでいるのでしょうか――。

プログレス・ソフトウェア・ジャパンでは、医療機関のランサムウェア対策の実態を把握するために、2023年2月21日~2月22日に医療機関のネットワーク/システム管理に携わる105名の方を対象に「医療機関におけるランサムウェア対策に関する実態調査」を、インターネットを用いて(IDEATECH のリサーチPR「リサピー」を利用)実施しました。

この調査を通じて

  • 調査対象となった病院の6割強がランサムウェアについて正確に理解していない
  • ランサムウェアに特化した対策ツール・ソフトを導入している病院は全体の15%程度
  • 約7割の病院がランサムウェアに対し不安を持っている

ことなどが明らかになりました。

概要を紹介します。

医療機関の6割強はランサムウェアを十分に理解していない

ランサムウェアとは、感染したコンピューターをロックしたり、ファイルを暗号化したりすることで使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェアを意味します。ランサムウェアの感染により重要データを暗号化されると、業務の停止や場合によっては事業の継続が困難になることさえあります。

この調査では、最初の設問「Q1」で「あなたはランサムウェアについて理解していますか」と尋ねています。これに対し「よく理解している」と答えたのは、全体(n=105、nは回答者数)の34.3%にとどまりました。

これに対し、44.8%は「聞いたことはあるが、内容は理解していない」、18.1%が「聞いたこともない」と回答しています。医療機関のシステム/ネットワーク担当者の6割強が、ランサムウェアについて正確な知識を持っていないのです。

医療機関にセキュリティソリューションを提案する際には、ランサムウェアが医療関係者の間でまだ十分に認知されていないことを前提に、丁寧な説明を心がける必要があると考えられます。

「Q2」の「勤め先の医療機関がランサムウェアへの対策を行っているか」という設問には、全体の54.3%が「対策を行っている」と回答、「行っていない」の21.9%を大きく上回りました。

とはいえQ1で回答者の6割がランサムウェアについて十分な知識を持っていないと答えていることを考えると、この数字だけで医療機関でのランサムウェア対策が進んでいると判断するのは、やや早計と言えそうです。

これを表しているのが「Q3」――Q2で「対策を行っている」とした回答者(n=57)を対象とした「どのような対策を行っているか」(複数回答)という設問です。

Q3への回答では、「ファイアウォールやメールフィルタの設定」(63.2%)、「OSやソフトウェアアップデートの徹底」(52.6%)、「定期的なバックアップの実施」(52.6%)など、一般的なセキュリティ対策が上位を占めます。もちろんこれらは、ランサムウェア対策に不可欠ですが、一般的なセキュリティ対策を強化しただけでは、巧妙なランサムウェア攻撃への対応は困難です。

そうしたことから、近年「ランサムウェアに特化した対策ツール・ソフト」が市場に投入され、企業や官庁などで導入されはじめていますが、今回の調査では、これらを導入しているという回答は、Q2で「対策を行っている」とした回答者の29.8%、全体の16.2%にとどまりました。

プログレス・ソフトウェアの Flowmon ADS もランサムウェアに特化した対策ツール・ソリューションの1つですが、こうした製品の存在・必要性が医療関係者に浸透するには、少し時間が必要なようです。

「Q4」では、Q2でランサムウェアに対する対策を「行っていない」と回答した方(n=23)を対象に「行えていない理由」(複数回答)を尋ねていますが、最も多かった回答は「ランサムウェアについて理解できていなかったから」(34.8%)でした。これからもランサムウェアに対する認知度の低さが、対策を進める上でのネックとなっていることがわかります。

その他、対策を「行っていない」理由には「人材不足」(21.7%)、「予算が確保できない」(21.7%)、「時間が不足している」(17.4%)など業務体制上の問題の他、「対策するほど重要な情報を扱っていない」(17.4%)、「適切な対処方法がわからない」(17.4%)などがあげられています。

これらの選択肢以外で「行えていない」理由を自由回答してもらった「Q5」では、上記の他に「危機感不足」「ウイルスについての危機管理ができていない」などの回答が得られました。

「Q6」では、Q2でランサムウェア対策を「行っていない」と回答した方(n23)に対し「ランサムウェアに対応したセキュリティソフトやツールを導入する必要を実感しているか」と尋ねています。これに対し「やや実感している」が56.5%、「あまり実感していない」は30.4%という回答が得られました。

「Q7」では、Q6で「やや実感している」と回答した方(n=13)に「どのくらいの期間でランサムウェアに対応したセキュリティソフトやツールを導入したいと思うか」と尋ねています。これに対し15.4%が3カ月以内、23,1%が半年以内、30.8%が1年以内と回答、実に7割 が1年以内にランサムウェア対策製品を導入したいという意向を持っていることがわかりました。医療機関のランサムウェア対策ツールへのニーズはかなり強いと見ることができそうです。

医療機関の約7割がランサムウェア被害を不安視

これを裏付けるのが「Q8」の「勤め先がランサムウェアの被害を受ける可能性について不安を感じていますか」(n=105)という設問です。18.1%が「かなり感じている」、49.5%が「やや感じている」と回答、調査に協力いただいた医療機関の7割近くがランサムウェアに不安を抱いていることがわかりました。

このうちQ2で、ランサムウェア対策を「行っている」と回答した上で、Q8でランサムウェアへの不安を「かなり感じている」「やや感じている」と答えた方に不安を感じている理由を尋ねた「Q9」(n=46、複数回答)では、上位に

  • 万が一侵入された時に患者データを守る方法が検討できていない(54.3%)
  • 多様化する手口や行動パターンに対応できていない(50.0%)
  • 患者が利用するWi-Fiのセキュリティ対策ができていない(32.6%)
  • 院内のネットワークを流れるパケットの監視まで行えていない(32.6%)

と、主にシステム面でのランサムウェア対策の課題があげられています。

またQ2で、ランサムウェア対策を「行っていない」と回答した上で、Q8においてランサムウェアへの不安を「かなり感じている」「やや感じている」と答えた方に不安を感じている理由を尋ねた「Q10」(n=12、複数回答)では、

  • 病院としての信用が薄くなってしまう(58.3%)
  • 患者の不安を煽ることになる(41.7%)
  • セキュリティ対策について相談する相手がいない(33.3%)
  • 院内のスタッフの情報に対する警戒意識が低い(33.3%)

と、主にランサムウェア対策への業務面での課題があげられています。

理想的なランサムウェア対策ソリューション

こうしたランサムウェアへの不安を解決する有力な手立ての1つとして、前述の「ランサムウェアに特化した対策ツール・ソフトの導入」があげられます。

一般的にセキュリティ対策では、ファイアウォールなどによる境界セキュリティとクライアントに導入されるエンドポイントセキュリティの2つ手法がとられています。しかし、これだけでランサムウェアの被害を防止することは困難です。

ランサムウェア攻撃の手口は巧妙化しており、こうした従来型のセキュリティ対策をすり抜けてしまう事案が多発しています。最近では、ランサムウェア対策の現実的な手立てとして、もしデータを暗号化されても、バックアップデータを使って早期に復旧できるようにすることが重視されるようになっていますが、攻撃者は Samba ドライブや NAS ドライブなども標的にしており、バックアップデータまで暗号化されてしまい復旧が困難になるケースもでてきています。

ランサムウェアから重要な情報を守るには、ネットワークセキュリティの強化、すなわち悪意のある侵入者の異常な振る舞いを早期に検出、対処することが重要です。

その有力手段の1つが、プログレス・ソフトウェアの「Flowmon ADS」です。Flowmon ADS は、企業や病院のネットワークを流れるパケットを常時監視し、万一ランサムウェアが侵入しても、ランサムウェア特有の振る舞いを検知、警告を発することで、被害を未然に防止することを狙った製品です。

Flowmon ADS はランサムウェアをはじめとするネットワークに侵入するマルウェアの40以上の振る舞いパターンを把握しており、AIエンジン(マシンラーニング)が、200以上のアルゴリズムを使用して、異常を検知します。

また、デル・テクノロジーズとの協業によって、デルのストレージ製品と Flowmon ADS の連携ソリューションも提供されています。

これは、Flowmon ADS がランサムウェアの侵入を検知すると、ストレージ側のセキュリティソリューションに急報、自動的に(1)ランサムウェアが利用しているIDのブロック、(2)最新データの保存、(3)バックアップ用のストレージをネットワークから完全に切り離すといった措置をとり、高い確率で被害を防止するものです。万一、ファイルが暗号化されても、最新のバックアップデータを用いて早期復旧が可能です。

重要なデータを長期間保存する必要がある医療機関のランサムウェア対策ソリューションとしては、理想的といえるでしょう。

詳細は下記をご参照ください。

ホームページ: https://flowmon.com/jp

 

Kouji Fujii