確実な復旧までを見据えた「3-2-1-1-0ルール」や大津赤十字病院における最新の取り組みも紹介
ランサムウェアに狙われる医療機関のバックアップに不可欠な要件、Veeamが説明
2022年12月26日 07時00分更新
医療機関を狙ったサイバー攻撃(ランサムウェア攻撃)が増えている。バックアップソフトベンダーのヴィーム・ソフトウェア(Veeam Software)が2022年12月22日に開催したメディア向けセミナーでは、医療機関におけるランサムウェア対策の事例とともに同社製品を用いた効果的な対策を紹介した。
医療機関を狙うランサムウェア攻撃が世界的に多発している背景
ヴィーム・ソフトウェア 執行役員社長の古舘正清氏、シニア・システムズ・エンジニアの熊澤崇全氏
システムの即時復旧が求められる医療機関は格好のターゲットに
「医療機関を狙うランサムウェア攻撃が増えている。患者のプライバシーにかかわる個人情報を多く扱っており、電子カルテなど人命にかかわるシステムも多いため『システムの即時復旧』が求められるからだ。防御する側の医療機関でも、バックアップの必要性と重要性がうたわれており、われわれのところにも多くの問い合わせをいただいている」。ヴィーム・ソフトウェア 執行役員社長の古舘正清氏はこう語る。
IDCの市場シェア調査によると、Veeamは現在、バックアップ市場で2位に位置づけられている。Fortune 500企業の81%が採用するなど、後発ベンダーながらも顧客を増やしてきた要因のひとつが「データセキュリティ」の強みだという。
Veeamが行った幅広い企業への調査によると、過去1年間でランサムウェア攻撃を複数回(2回以上)受けたという企業は60%にも及ぶ。また、ランサムウェア被害を受けたデータのうち、バックアップからリカバリ(復旧)できた割合は平均で64%にとどまる。つまり、被害を受けたデータの“3分の1”は復旧できておらず、バックアップシステムにおけるランサムウェア攻撃からの回復機能にはさらなる強化が求められている。
2021年には企業の76%がランサムウェア攻撃を1回以上経験している
特に、現在のランサムウェアは攻撃手法を高度化させており、ランサムウェア被害からの回復において“最後の砦”となるバックアップリポジトリを攻撃するケースも増えている。そうした中でも「Veeamはランサムウェア対策で高い評価をいただいている」と、古舘氏は説明する。
「診療情報の保護」が病院の差別化ポイントになる時代
Veeamのバックアップ製品である「Veeam Backup & Replication」を採用して情報セキュリティ対策を進めているのが、滋賀県にある日本赤十字社 大津赤十字病院だ。
大津赤十字病院 事務部 医療情報課 課長 兼 情報システム係長 兼 診療支援係長の橋本智広氏は、国内の医療機関においては2021年10月には徳島県の病院が、2022年10月には大阪府の病院がランサムウェア被害に遭っており、その後に厚生労働省からセキュリティ対策強化の注意喚起やセキュリティ教育支援ポータルが開設されるなど「急ピッチで情報セキュリティ対策の強化が迫られている」と説明する。
国内の医療機関でも大きなランサムウェア被害が発生している
2022年4月の診療報酬改定においては、診療記録の適切な管理に対する加算(診療録管理体制加算)について、「医療情報システムの安全管理に関するガイドライン」(厚生労働省)でバックアップ体制を含む具体的な要件も設定されている。
医療情報システムの安全管理ガイドラインが定められ、バックアップ体制の確保などが具体的な要件となった
しかし橋本氏は、大津赤十字病院にかぎらずどんな医療機関でも「限られた人的リソース」で「マルチベンダー構成のシステム運用管理」を行わなければならないという課題を抱えていると説明する。この課題に対して橋本氏らが見いだした答えは、「情報セキュリティ対策全体を医療機関自身で管理する」「診療情報を安全に保管するための統合バックアップ環境を構築する」というものだった。
そこで現在、大津赤十字病院ではVeeam製品を導入して統合バックアップ基盤の構築に取り組んでいる。“4つのステップ”に及ぶ具体的な取り組みは、こちらのセミナーレポート記事に詳しいのでご参照いただきたい
現在は全60システムのうちの20システム、サーバー台数にして33台分のバックアップを統合管理している。すでに運用管理工数を95%削減し、データベースだけでなくシステム稼働に必要なすべてのデータを保護するといった成果が得られている。
橋本氏は「医療機関が主導権を持ってしっかりコントロールすることが大切」と述べたうえで、「これからは『病気を治してくれる病院』というだけではなく、『自分の診療情報をしっかり守ってくれる病院』を選ぶような時代になるのでは」と、医療機関におけるデータ保護の重要性をまとめた。
大津赤十字病院における成果。まだ取り組みの途中段階だが、大幅な工数削減などの成果がすでに得られている
確実かつ即時の復旧ができるバックアップ環境構築のポイント
医療機関がサイバー攻撃リスクにさらされているのは世界的なトレンドだ。ただし、Veeamのバックアップ製品が“最後の砦”として機能し、大規模な被害を免れたという医療機関は複数あるという。その1つとして、カナダのオンタリオ州東部保健局における事例が紹介された。ITインフラがランサムウェア被害に遭ったものの、Veeamで保護されていたため、2時間後にはDR環境で重要システムの稼働を再開できたという。
オンタリオ州東部保健局では、ランサムウェア攻撃を受けた2時間後に重要システムの稼働を再開できた
ヴィーム・ソフトウェア シニア・システムズ・エンジニアの熊澤崇全氏は、ランサムウェア対策における強みとして、Veeamが提唱する「3-2-1-1-0ルール」を紹介した。
データのバックアップについては、古くから「3-2-1ルール」(3つのデータコピー、2種類のメディア、うち1つはオフサイト保管)が定説となってきた。しかし、現在のIT環境に求められる可用性やサイバー攻撃リスクなどを考えると、さらに2つの要件(「1-0」)を付け加えるべきだというのがVeeamの考えだ。
追加される「1」はサイバー攻撃で書き換えのできないバックアップコピー(オフライン、エアギャップ環境、不変ストレージ)を持つこと、さらに「0」はバックアップから復旧可能である常にテストして、リストアエラーをなくすことを意味している。
Veeamでは、古くから言われてきた「3-2-1ルール」に「1-0」を追加すべきだと提唱している
ランサムウェア攻撃と復旧のプロセスをたどりつつ、熊澤氏は次の3つを対策のポイントとして強調する。
(1)クリーンなバックアップにより、改ざんや削除から守り、確実に復旧
(2)バックアップを活用してフォレンジックを支援
(3)バックアップ観点での検知と監視
そうした対策を支援する機能として、Veeamでは次のような機能を備えている。
・バックアップデータを書き換え不能にする機能(強化Linuxリポジトリ、Amazon S3のオブジェクトロック、イミュータブルストレージなどの利用)
・セキュアリストア(リストア処理中のウイルススキャン機能)
・インスタントVMリカバリ(バックアップファイルから直接VMを起動できる機能)
・バックアップコピージョブ(狭帯域回線にも対応する二次バックアップへの永久増分コピー)
・長期保持ポリシー(月単位、年単位での保存)
上述した機能を組み合わせることで、ランサムウェア攻撃への対抗力を持つバックアップ/リストア環境を実現できる
これらに加えて、熊澤氏は「バックアップのシステムならではの監視の仕組み」としてデータ保護可視化機能を紹介した。Veeamからバックアップ対象を登録すると、そのCPUリソースやディスクI/Oのリソースの変化も監視することができる。そこで、使用リソースが異常に増えた場合には「マルウェアが稼働している可能性がある」と検知できるわけだ。バックアップジョブに対しても監視設定が可能であり、増分バックアップの容量が急増した場合には改ざんを検知できる。
