お知らせ
【識者の眼】「『侵入型』ランサムウェアに備えたデータバックアップの現実的考え方」江原悠介
厚生労働省が5月24日に開催した健康・医療・介護情報利活用検討会において、「医療情報システムの安全管理に関するガイドライン 第6.0版」の内容が確定した。本改定で様々な関連文書が整理され、その1つとして「[特集] 医療機関等におけるサイバーセキュリティ」という参考資料が公開された。
当該資料では、サイバーインシデントに備えた対策のうち、特にランサムウェア攻撃に備えた必要最小限の対策としてバックアップの推奨方針が記されている。この方針によると、攻撃者の不正アクセスを防止する対策とともに、診療継続に不可欠な定期的なバックアップをテープカートリッジや書き込み禁止設定をしたディスク領域に行うことが求められている。
この方針では、いわゆる「標的型」のランサムウェア攻撃には対応可能である。しかしながら、当今増加している攻撃傾向─つまり、院内ネットワークに入り込み、長期潜伏した上で、暗号化による攻撃を起動する「侵入型」ランサムウェア─への対策は不十分であると言える。「侵入型」攻撃では、バックアップの定期性を逆手にとって、バックアップデータ自体にランサムウェアの〈卵〉を継続的に仕込むことで、復旧困難性を高めている。
たとえば日次で7世代分のバックアップを取得し、それ以前のデータを廃棄する運用を行っている場合、7日間分のバックアップデータすべてにウイルスの〈卵〉が仕込まれることになる。一般的に、攻撃者の潜伏期間の平均値は数週間程度、最大だと1年以上に達するとも言われており、こうした攻撃者の潜伏期間は今後もより巧妙化され、長期化することは言うまでもない。
では、こうした「侵入型」ランサムウェアの〈卵〉を排除するには、どのようにしてデータバックアップの有効性を維持すべきか。留意すべき点は、厚生労働省や内閣サイバーセキュリティセンター(NISC)が言うようなバックアップルールの定期性に関する一般規則とは異なる、不定期(不規則)なデータバックアップの重要性である。具体的には、バックアップをあえて不定期に取得(1カ月前、4カ月前、1年前以上、等)し、定期的なバックアップとは別の環境で保全することである。
重要な点は、ランサムウェアの〈卵〉が仕込まれているためバックアップデータの復元ができない状況と、数カ月前の古いバックアップデータでも〈卵〉がなくリカバリーが可能な状況とでは、復旧にかかる費用・時間が圧倒的に異なることである。この点は、すべてのデータのバックアップを定期的に長期間保存するという厚生労働省等の正規ルールと比較した際に、国内医療機関の限られたリソースにおいても対応可能な〈変則的〉な生存戦略として、しっかり検討すべきポイントと考えられる。
江原悠介(一般社団法人医療ISAC理事)[医療情報システム安全管理ガイドライン第6.0版]
