GemMed | データが拓く新時代医療 > 医療提供体制改革 > 医療機関でも「DDoS攻撃」による被害を抑える対策、被害を想定した対策とともに、攻撃に加担しないための対策を—NISC

医療機関でも「DDoS攻撃」による被害を抑える対策、被害を想定した対策とともに、攻撃に加担しないための対策を—NISC

2025.2.5.（水）

DDos攻撃と呼ばれる複数のコンピューターから同時にアクセスしてWebサイトやサーバへ負荷をかけてサービス提供を妨げる攻撃が相次いで発生している。医療機関でも「DDoS攻撃」による被害を抑えるための対策、被害を想定した対策をとるとともに、知らぬ前に「自院が攻撃に加担してしまう」ことのないような対策をとってほしい—。

内閣官房内閣サイバーセキュリティセンター（NISC、National center of Incident readiness and Strategy for Cybersecurity）は2月4日に「DDoS攻撃への対策について（注意喚起）」を示し、医療機関等を含めた全分野に注意喚起を行いました。

知らぬ間に自院がDDos攻撃に加担してしまわないような対策も必要

企業や医療機関などがサイバー攻撃を受け、甚大な被害が発生する事例が我が国でも散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、2022年秋には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。

この点、医療機関については「一般にサイバーセキュリティ対策が甘い」「鍵のかかっていない金庫のようなものである」との厳しい指摘があります。

そこで、「医療情報システムの安全管理に関するガイドライン」の再改訂（第6.0版）が行われ、例えば、システム管理者のみならず、医療機関の管理者（院長）にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか（セキュリティ対策は確保されているのかなど）をきちんと把握してもらう—ことなどを求めています。すべての医療機関でセキュリティ対策を強化することを目指す内容となります。あわせて「立入検査でのサイバーセキュリティ対策チェック」、「医療機関・システムベンダ向けのサイバーセキュリティ対策チェックリスト公表」、「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表等の公表」などの取り組みも進められています（関連記事はこちらとこちら）。さらに8月1日には「すぐさま、▼強固なパスワード設定▼通信制御確認▼ファームウェアの適切な更新—などの対策を行う関係事業者と協力して行う必要がある」旨の事務連絡を示し、注意を呼び掛けています。

他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター（NISC）に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています（NISCのサイトはこちら）。

今般、NISCは年末年始にかけて航空事業者・金融機関・通信事業者等に対する「DDoS攻撃」（複数のコンピューターから同時にアクセスすることで、Webサイトやサーバへ負荷をかけてサービス提供を妨げる攻撃）が相次いで発生しており、今後、大規模な攻撃が発生する可能性も否定できないとし、下記のような「リスク低減に向けた適切なセキュリティ対策を講じてほしい」と要請しています。DDoS攻撃への対策は、多くの費用と時間が必要なものもあり、また、全てのDDoS攻撃を未然に防ぐことはできませんが、下記事項を参照し、各事業所で導入している機器やシステムの設定見直し・脆弱性の有無の確認、ソフトウェアの更新など、身近な対策を進めることが重要です。

あわせて、インターネット利用者に対し「ルータやIPカメラ等のいわゆるIoTデバイスがマルウェアに感染し、IoTボットネットに組み込まれてサイバー攻撃に加担する」ことのないよう、これらデバイスの設定やアップデートを適切に行うことも求めています。

【DDoS攻撃による被害を抑えるための対策】
▽海外等に割り当てられたIPアドレスからの通信の遮断
→DDoS攻撃はボットからの攻撃によって実施されることが多く、ボットに感染している端末等が多い国やドメインからの通信を拒否することによってDDoS攻撃の影響を緩和することが可能
→特に「国内のみからアクセスを受ける情報システム」であれば有効であり、正規の通信への影響も考慮しつつ実施を検討する
→同一のIPアドレスからの閾値を超えた「大量のリクエストを遮断する」機能の利用についても検討する

▽DDoS攻撃の影響を排除、または低減するための専用の対策装置やサービスの導入
→▼WAF（Web Application Firewall）▼IDS／IPS▼UTM（Unified ThreatManagement）▼DDoS攻撃対策専用アプライアンス製品—などを導入し、DDoS攻撃を防ぐため必要な設定を行う

▽コンテンツデリバリーネットワーク（CDN）サービスの利用
→コンテンツデリバリーネットワーク（CDN）サービスを利用する場合は、元の配信コンテンツを格納しているオリジンサーバへ直接アクセスされることを防ぐため、オリジンサーバのIPアドレスを隠蔽する必要がある

▽その他各種DDoS攻撃対策の利用
→インターネットに接続している通信回線の提供元となる事業者やクラウドサービス提供者が別途提供する「DDoS攻撃に係る通信の遮断等の対策」を利用することも有用

▽サーバ装置、端末および通信回線装置および通信回線の冗長化
→代替のものへの切替えについては、サービス不能攻撃の検知および代替サーバ装置等への切替えが許容される時間内に行えるようにする必要がある

▽サーバ等の設定の見直し
→サーバ装置、端末および通信回線装置について、DDoS攻撃に対抗するための機能（パケットフィルタリング機能、3－way handshake時のタイムアウトの短縮、各種Flood攻撃への防御、アプリケーションゲートウェイ機能）がある場合は有効にする

【DDoS攻撃による被害を想定した対策】
▽システムの重要度に基づく選別と分離
→「コストをかけてでも守る必要のあるサービス」と、「一定期間のダウンタイムを許容できるサービス」とを選別し、それぞれの対応方針を策定する
→重要性に応じてシステムを分離することが可能か確認し、「事業継続に重要なシステム」は。「その他のシステム」とネットワークを分離することも検討する

▽平常時からのトラフィックの監視および監視記録の保存
→平常時のトラフィック状況を知っておくことで、異常なトラフィックを早期に発見できる
→監視記録の保存については、監視対象の状態は一定ではなく、「変動することが一般的」であり、監視対象の変動を把握するという目的に照らした上で保存期間を定め、一定期間保存する

▽異常通信時のアラートの設定
→異常な通信が発生した際に、担当者にアラート通知が送られるようにしておく

▽ソーリーページ等の設定
→サイトの接続が困難、不能となったときに、SNS等の媒体を利用してサイト利用者に状況を通知する内容の投稿ができるようにするほか、別サーバに準備したソーリーページが表示されるように設定する

▽通報先・連絡先一覧作成など発生時の対策マニュアルの策定
→DDoS攻撃を受けた旨を連絡するため、警察や平素からやりとりのある関係行政機関等の通報先についてまとめておく
→サーバやインターネット回線が使用不能となった場合の代替手段やユーザ向けのサービスが提供不可となった場合のユーザへの周知手段の確保など、対策マニュアルや業務継続計画を策定する

【DDoS 攻撃への加担（踏み台）を防ぐ対策】
▽オープン・リゾルバ対策
→管理しているDNSサーバで、外部の不特定のIPアドレスからの再帰的な問い合わせを許可しない設定にする

▽セキュリティパッチの適用
→ベンダーから提供されるOSやアプリケーションの脆弱性を解消するための追加プログラムを適用する

▽フィルタリングの設定
→自組織から送信元IPアドレスを詐称したパケットが送信されないようフィルタリング設定を見直す

各医療機関におかれては、院内の情報システム担当者を中心に、ベンダーとも相談し上記の対策を早急に進めることが求められます。