病院でランサムウェア被害が起きたらどうする？ボードゲームでシミュレーション

トレンドマイクロはインシデント対応ボードゲームを提供しています。

インシデント対応ボードゲームをダウンロード

サイバー攻撃件数の多い医療業界こそ訓練が必要

医療機関におけるサイバーセキュリティインシデント事例の象徴的なものとして、2021年のつるぎ町立半田病院や2022年の大阪急性期・総合医療センターにおけるランサムウェア被害が挙げられます。これらの病院はランサムウェアによる電子カルテシステムなどが暗号化されることにより、数か月間、通常診療が行えないような事態に陥りました。

2024年に入っても医療業界において複数のセキュリティインシデントを確認しており、5月には岡山県精神科医療センターでもランサムウェア攻撃による電子カルテシステムの不具合が公表され、医療業務に支障を来すなどの事態が発生しています。

医療業界へのサイバー攻撃は世界全体でもその数が多い傾向にあり、トレンドマイクロの2023年の全世界のマルウェア検出データにおいても、「ヘルスケア」は政府機関に続いて第2位の業界となっています。

順位	業界	検出数
1	政府機関	30万2600
2	ヘルスケア	22万8100
3	製造	21万2100
4	教育	17万9800
5	銀行	17万6400

表：トレンドマイクロが2023年に全世界で検出したマルウェアの数　業界別TOP5

医療業界でセキュリティに携わる方々は、人の健康や生命にかかわる業務の性質上、金銭などに換算できないリスクを抱えており、心理的にもより負担が大きいと言えます。

実際に2024年7月に開催された滋賀県サイバーセキュリティシンポジウムでも、医療機関の情報管理課に務める登壇者から「インシデントが発生するかもしれないという懸念を常に感じている」という発言がありました。

こうした懸念から、多くの医療関係組織ではサイバー攻撃が発生しないように事前の防御策が実施されていると考えられます。一方で医療業界に限らずですが、サイバー攻撃者が使用する侵害手法は日々高度化しており、そうした事前の防御策をすり抜けて被害がもたらされる可能性はどうしても残ってしまいます。

そこで、万が一被害が発生した際にどのように対応するか、という対応計画を事前に定めておき訓練を行うことが、被害を可能な限り抑えるために必要な対策の1つです。これは例えばNISTのサイバーセキュリティフレームワークに記載されている「対応計画（The incident response plan）の実行」や「復旧計画（Incident Recovery Plan）の実行」に含まれます。

なお、これらの対応や復旧などの事後対応は、被害発生を前提としていることから、多くの組織においてそもそもの被害発生を防ぐ対策に比べて後回しにされる傾向にあります。

しかし、計画を立てたり訓練を行うことで、どのような経路で侵害される可能性があるかといった点や、被害を受けた際に影響する分野がどこかといった点が明確になり、そもそもの防御対策の弱点が見つかったり、より厳密に対処項目の優先順位が定まるなど、結果として全体のセキュリティレベル向上につながる効果が期待できます。これについてはトレンドマイクロが提供するインシデント対応サービスの担当者も指摘しています。

参考記事：いざという時に慌てない！セキュリティエンジニアが知っておきたい『復旧宣言』の3条件

こうした背景から、セキュリティインシデントが起きた際の対応イメージの具体化や手順の疑似体験を目的として、トレンドマイクロはインシデント対応ボードゲームを提供しています。

本記事では2024年8月に実施したインシデント対応ボードゲーム（医療版）の内容や体験会当日の様子をレポートします。

インシデント対応ボードゲーム（医療版）とはどんなもの？

インシデント対応ボードゲーム（医療版）は、架空の病院職員になりきり、セキュリティインシデント発生時の対応をボードゲーム形式で体感できる机上のインシデントレスポンス演習です。

病院内で起こる複数のセキュリティイベント報告に対して、与えられた役割（院長や広報担当者など）に沿った観点で対応を検討しチームで話し合い、実施事項を決定します。

特に勝ち負けを決めたり、特定の実施事項を最終的に選べば正解、というわけではなく、インシデントというひっ迫した状況かつ限られたリソースの中で、優先度を決めて対応を選択しなければならないという被害時のリアルな緊張感を体験することが目的となります。

ゲームは5,6人を一組として行います。ゲームの流れとして、最初に前提条件となる病院の基本情報について、ファシリテーターから説明があります。今回は、病床数300床、職員数700人の中核病院を想定して実施しました。

他にも情報システム担当が2人程度で、セキュリティ専任者がいないことや、大きくHIS系と情報系でネットワークが別れるシステム構成であることなど、後々のインシデント対応判断に関連する情報が参加者に共有されます。

前提情報が共有されたのちに、各参加者に病院内での役割が割り振られます。

参加者は、この後に起こるインシデントに対して、各立場からの発言が求められます。同じインシデントでも例えば情報システム部門は調査を入念に行いたい一方で、広報責任者などは素早く対外的に情報発信を行うことを意図するなど、立場ごとに重要なポイントが異なることを参加者に実感してもらうためです。

各参加者の役割が決まったところで、セキュリティイベント情報が記載された「イベントカード」という名称のカードの山からカードを3枚ひいてゲームを開始します。各担当者はカードに記載されたセキュリティイベントの内容から、影響範囲や原因を推測し対応を開始することとなります。今回は下記の3種類を使用しました。

イベントカードに記載された情報は、断片的になっています（実際のインシデント対応でもよく起こります）。上記に示した3枚のカードがあったとして、記載されたセキュリティイベントが1つのサーバへの攻撃に紐づいたものとは限りません。3種類の異なるサイバー攻撃の被害に同時に遭っている可能性もあれば、一部のイベントはオペレーションミスによって発生した事象である可能性もあります。参加者は限定的な情報から侵入の原因や今起こっている事象の推測を行った上で、詳細な調査を進めるのか、業務への影響を考えてネットワークの分離などの処置に踏み切るのか、などを意思決定します。

意思決定の際には、「アクションカード」を2枚まで指定します。実際のインシデントの際にはもっと多くの対処を手分けして行うことが考えられますが、ひっ迫した状況下において対応にも優先度をつけて実行する必要があることを実感してもらうために選択できるアクション数をあえて絞っています。

アクションカードを決める際にも担当ごとに意見が分かれますが、最終的には経営責任者の判断に基づいて優先すべきものを決定します。

他にもゲームの中では病院の保有する資産やブランドイメージがポイント化されており、起きたインシデントの内容や行ったアクションによってそれらが消費されることで、最終的に行うことのできるアクションが制限されるなどのルールも含まれます。

インシデント対応ボードゲーム（医療版）を実践

今回は、国際モダンホスピタルショウ2024で当社のブースにお越しいただいた方々を対象に参加者を募り、本ボードゲームの体験会を開催しました。実際に医療現場で働く情報システム関連部門の方々が参加されました。

それぞれの参加者に対して、役割分担を行ったのち、異なる立場からイベントカードの内容を考察します。

例えば、医療部門の責任者の立場からは、「電子カルテサーバに異常が発生」のイベントカードを示し、電子カルテのシステムが使えない端末が存在することに対し、診療業務に影響が出る可能性が指摘されました。使えない台数までは、イベントカードからは読み取れませんが、使用できない場合には紙やペンで代用した業務実行が必要になることが告げられました。

またシステム部門の責任者の立場からは、ランサムウェアらしき挙動と合わせて、「不正なサーバへのアクセスを検出」と「セキュリティ事故の情報がSNSで拡散」が同時に発生していることから、すでに院内のデータが抜き出され、リークサイトなどで広く周知されている可能性にも指摘がありました。さらにHIS系のネットワークがオンラインに接続していないため、地域連携サービスや遠隔保守を行っているサーバを経由して院内ネットワークに攻撃者が潜入してきている可能性があることなどが告げられました。そして、現在も攻撃が続いている可能性にも触れ、二次、三次被害を防ぐためのアクションが必要になる旨も提示されました。

これらに加えて事務担当責任者からは、「電子カルテサーバに異常が発生」や「セキュリティ事故の情報がSNSで拡散」のカードを挙げて、院内へのアナウンスや対外的な公表を行わなければ、患者や関係組織に大きな不安を与えてしまう可能性も指摘されます。

こうしたそれぞれの考察内容が各チームに配布されているワークシートに記入されます。

更にワークシート左下の影響度についても議論がなされます。病院で保有する情報資産や自社ブランドイメージ、影響の生じたシステムの重要性などについて、現時点と将来それぞれについて意見が交わされます。なお今回はかなり深刻なケースを想定し実践した為、全ての項目について現在未来に大きな影響をもたらすことは満場一致でした。

もし今回のイベントカードの内容が、外部のメールサーバ単体など、より限定された領域を対象としていたり、メールアカウントの乗っ取りなど侵害範囲も限定的であった場合には、これらの影響度も変更されることとなります。

次にアクションプランの検討について話し合います。筆者が参加したチームでは、まず院内情報が外部に送出されている可能性や攻撃者が現在も潜伏している可能性があることから、業務に影響があったとしても感染を確認している端末の隔離と外部との通信の完全な遮断を行ったほうがいいと、システム部門の責任者から提言されました。

またその上で、USB経由でランサムウェアが侵入した可能性があることにも触れ、その侵入経路と影響範囲をログ等から詳しく分析し再発を防ぐことも推奨されました。一方で今回のシナリオでは、被害病院においてセキュリティ専任者がいないことから、より詳しい調査を行う際には専門のベンダに連絡した方が対応は早いであろう旨も告げられます。

事務部門の責任者からは、SNS上で拡散されている情報がどういった内容かを迅速に確認したい旨とシステム部門でのログの分析に関して、個人情報漏洩の危険性についても入念に確認してほしいということが告げられました。それらと並行して外部に対する公式のインシデントに関するアナウンスを行う必要がある旨も発言されました。

医療部門の責任者からは、院内の混乱を抑えるために簡易にでも状況を素早く伝えて、患者や職員の不安を和らげる必要性が高いことが発言されました。また救急患者の受け入れなども停止する必要があると指摘します。
そして何よりも今回のインシデントが院内で使用している電子カルテ以外のシステムにも影響を及ぼす場合、人命にもかかわる可能性があることから、感染拡大の防止をある程度の業務影響を考慮の上で最優先すべきとも提言しました。

いずれも優先度の高い対応内容ですが、上述した通りゲームのルール上、アクションカードは2枚までしか選べません。
ひっ迫した状況下でも経営責任者の立場にある方は最優先のアクションを決定する責任に迫られます。ここまでの議論を踏まえて経営責任者からは、病院の中長期的なブランド低下や業務効率の低下よりも、最優先すべきは院内の患者の心身の健康であることについて触れられ、「患者・関係病院などにアナウンスする」と「ネットワークを全断する」のアクションカードを採用することとなりました。

結果的にこれらを採用することによって、院内患者の精神状態へのケアと、これ以上のインシデント被害の広がりを抑えることを目的としました。

最後に提示された様々な対応内容について、ワークシートに記入し、別のチームとそれぞれの考察や選択したカードの内容を共有することで体験会は終了しました。

まとめ

今回行ったボードゲームの体験会は、あくまでゲームでありルールが定められています。実際にインシデントが発生した際は2つのアクションだけでなく複数の対応が並行して多くの人員により繰り広げられます。また調査の結果、影響範囲や原因を速やかに特定できれば、必要な対処の優先順位が変わる可能性もあります。

しかし、ゲームという形であっても机上でインシデントを体験することによって、限られた情報と限られた資産の中で自組織が何を最優先として意思決定するべきかを改めて見つめ直す機会となります。

またゲームの中でインシデント発生時の様々な対応事項を意識することで、復旧計画に必要な対策内容も自然に棚卸することができます。今回のように、シナリオによっては自社システムに関連するサプライチェーンリスクについてもその想定に組み入れることが可能です。

トレンドマイクロでは、医療に限らず様々な分野で使用できるボードゲームのデジタル版資料を用意しています。組織における復旧計画の立案の重要性を感じつつ、具体的な手法を模索している読者においては、この資料を用いて机上訓練を行うことも選択肢の一つといえるでしょう。