大阪急性期・総合医療センターの
インシデント対応とは

閉域網神話はもう通用しないネットワーク可視化で侵入した脅威に素早く対処

大阪急性期・総合医療センター

急性期医療から高度な専門医療まで、36 の診療科による総合力を活かした質の高い医療を提供している大阪急性期・総合医療センター。高度救命救急センター、そして大災害に対応する基幹災害医療センターという2 つの重要な役割も担っており、地域の中核病院として大阪府民の暮らしを支えている。

業種: 医療
所在地: 大阪府大阪市
ウェブサイト: gh.opho.jp/

サマリー

課題

  • 診療系システムがランサムウェアに感染し、診療機能の停止に陥った
  • 閉域性の高いネットワークは安全と考えられてきたが、境界防御だけでは限界がある
  • 医療機器や制御端末は、OSのサポート期間やメーカー保証の関係で対策が困難

結果

  • 様々な対策や体制の見直しに加え、セキュリティを強化
  • 脅威を与える前段の偵察行為から検知して迅速に対処し、被害を最小限に抑える
  • ネットワークトラフィックを監視する方法は、端末への影響がないため医療機器や制御端末の対策にも有効

システムが動かない。ランサムウェア感染で診療機能が停止

2022 年10 月に大阪急性期・総合医療センターをインシデントが襲いました。サイバー攻撃によって、電子カルテを含む同院の総合情報システムに障害が発生。救急診療の受け入れ、初診受付、予定手術を停止せざるを得ない状況に陥りました。

「当直の事務員から『部門システムが動かない』という連絡を受け、サーバ確認を行ったシステム運用管理職員に状況を聞くと、画面に『身代金を払え』というランサムノートが表示されているとのこと。ランサムウェアに感染している可能性が高まり、院内は大いに混乱しました」と同院の上野山 亮氏は言います。

原因や影響範囲を調査し、その日のうちに、ランサムウェアを仕掛けた攻撃者が栄養給食管理サーバから侵入していることを特定しました。攻撃は、病院が許可したプロトコルと経路、端末を悪用しているため防ぐことが難しいサプライチェーン攻撃だったのです。

侵入後の脅威を検知。対策が困難な医療機器や制御端末に有効

システムの復旧に向けて、難しい課題となったのが超音波(エコー)検査装置など、様々な医療機器や制御端末への対応です。

「検査機などの医療機器や制御端末は、メーカー保証の関係で初期化することができません。それらに再び侵入するためのバックドアなどが仕込まれていたら、大きな脆弱性を残すことになってしまいます。そもそも医療機器や制御端末の中には、サポート切れのOS を搭載しているものもあり、どのようにセキュリティを強化するかは、長年、大きな課題でした」と上野山氏は話します。

監視の幅広さ、医療機器や制御端末への対応を評価しました

情報企画室 サブリーダー 上野山 亮 氏

病院のネットワークは、閉域性が高いことから、セキュリティは外部との境界で対策をしておけば大丈夫と考えるのが一般的でしたが、今回のように攻撃者は巧妙な手法で境界を突破してきます。「『閉域網神話』は、もはや通用しません」と上野山氏は言います。

そこで、同院が導入したのがCisco Secure Network Analytics(SNA)です。

SNA は、NDR(network detection and response)カテゴリに属する製品で、ネットワークトラフィック監視によってネットワークを可視化し、内部の不審なふるまいを検知。脅威が院内に拡散し、手遅れになる前に迅速に封じ込めを支援します。直接対策を施すことが難しい医療機器や制御端末が悪用されても、ネットワーク上で普段とは異なる挙動など、攻撃の予兆を検知して、すぐに対処し、被害を最小限に防ぐことができます。

ふるまい検知を行う製品としてはネットワークトラフィックを監視するNDR ではなく、エンドポイントで監視を行うEDR(endpoint detection and response)もありますが、前述したとおり多くの医療機器や制御端末はメーカー保証の関係でソフトウェアを追加したりすることができません。また、その端末自体の不正なふるまいは検知できても、他の端末と連動して挙動なども把握できません。頻繁に発生する端末の入れ替えや追加などにも適宜対応しなければならなくなることから、EDRよりNDRの方が最適だと判断しました。

 

攻撃前の小さな調査行動も察知して未然に被害を防ぐ

同院はインシデント発生から43 日目に外来診療を再開、73 日目には通常診療も再開しました。インシデント発生4日後から利用しているSNAには大きな手応えを感じています。

「セキュリティ対策が難しい医療機器や制御端末をネットワーク内に多く抱える病院にとってSNAは、非常に有効な対策だと改めて感じています。SNAと運用監視サービスによって、そうした小さな不審な挙動も捕捉し、実際の被害が発生する前に対処することができるようになるはず」と榎本 純也氏は話します。

さらに同院はシスコが提案するCisco XDR(Extended Detection and Response)にも期待を寄せています。

Cisco XDRは、ネットワークだけでなく、エンドポイント、メールなど、さらに幅広い対象を監視し、サイバー攻撃の侵入に備える対策です「費用対効果の見極めなどが必要ですが、選択肢の1つとして注目しています」(上野山氏)。

同院の経験をムダにせず、社会全体で悪質なサイバー攻撃に立ち向かうために、シスコも同院の取り組みを支えていきます。

こちらもご覧ください

テクノロジーは私たちの生活と働き方を変えました

多くのお客様が、コネクト、セキュリティ、そして変革のためにシスコのソリューションを活用しています。

 

業界独自の課題があります

各業界ごとに、独自の課題があり、カスタマイズされたソリューションを必要としています。

 

変化をリードする皆様へ

シスコは御社のストーリーの共有をお手伝いします。御社の事例制作にご興味があればこちらをご覧ください。