［CEC SOC／CSIRTインシデント訓練サービス 導入事例］
武蔵野赤十字病院 様

昨今、医療機関へのサイバー攻撃が増加していることを受けて、厚生労働省は対策の強化を要請している。2023年4月に改正された医療法施行規則には、「病院、診療所または助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない」と記載された。
また、2023年5月には「医療情報システムの安全管理に関するガイドライン第6.0版」が策定された。ガイドラインの経営管理編（Governance）で、医療機関は情報セキュリティインシデントへの対策として事業継続計画（BCP）を策定し、訓練を実施することが求められている。
 

2023年にはEDRとSOCを導入して、統合バックアップ基盤も設置した。さらに、2023年には「事業継続計画（サイバー攻撃編）」（以下 IT-BCP）を策定。2023年10月には、IT-BCPに基づいて第1回のサイバー攻撃BCP訓練を実施した。赤十字病院の中では初めてのサイバー攻撃BCP訓練だった。

2025年5月には、現行のSOCからの乗り換えでCEC SOCを導入する予定。本格的な運用が始まる前からCEC SOCとの連携を確認しておくために、2024年9月の第2回BCP訓練を実施する際に支援を依頼した。

•  実施時期 ：2024年9月
•  目的：院内でIT-BCPの認知度を高め、サイバーレジリエンスを強化する。
•  ゴール：得られた知見をもとに、IT-BCPを改定する。
•  体制：医療情報管理課のメンバーや事務部長（情報セキュリティ管理者）、院長補佐（CIO）だけでなく、看護部、薬剤部、栄養課など現場の医療スタッフも参加。CEC SOCやシーイーシー以外のベンダー、警察関係者にも参加してもらった。
•  他の赤十字病院からの参加者：現地参加は5施設から7名、Web視聴は30施設から約100名。

同院は、第2回から訓練の項目に追加したSOCとの連携に関して、CEC SOCにシナリオ作成を依頼。CEC SOCの提案により、実際にSOCの拠点とオンライン会議を行い、SOCアナリストによる解説を聞くというシナリオが完成した。事務部 医療情報管理課 尾喜 拓也氏は、「BCP訓練の実施にあたっては、シナリオを作成するのが一番大変です。今回は、SOCベンダーとしての経験豊富なシーイーシーに任せられたので助かりました」と語る。

さらに、SOCとの連携以外も含めた全体のシナリオの整合性について、CEC SOCと何回も打ち合わせを重ねながら確認した。
 

岡田氏は、BCP訓練においてSOCとの連携を確認する必要性について次のように語った。

「医療機関がサイバー攻撃を受けた場合、職員は外来患者や入院患者に対応しながら、医療情報管理課は可能な限り早くデータやシステムを復旧させなくてはなりません。その対応に追われ、ログの分析まで手が回らなくなってしまうでしょう。だからこそ、ログを分析してマルウェアの侵入経路を想定するなど、的確な指示を出せる専門家との連携が重要であり、BCP訓練の項目に盛り込むべきだと考えました」。

第2回のBCP訓練は、第1回から実施項目が増え、内容が大きく改善されたものとなった。医療情報管理課が主導してシナリオをブラッシュアップしたのはもちろんだが、それだけではない。第1回に参加していたスタッフがサイバー攻撃を「自分ごと」として捉え、医療情報管理課からの指示がなくても、何をすべきかを自分たちで考えて訓練に盛り込んでいた。第2回BCP訓練でも、終了後に実施したミーティングの場で、事務スタッフや医療スタッフから積極的に意見が出された。

「IT-BCPを策定するのは、サイバー攻撃を受けて診療機能が一時的に停止したとしても、復旧するまでの時間をなるべく短くしたいからです。そのためには、院内の各部署が何をすべきかを自分たちで考えて動いてくれることが重要です。訓練を通して、その意識が根付いたことに大きな意味がありました」（岡田氏）。

同院の先進的なサイバーセキュリティへの取り組みは、全国の赤十字病院からも注目されている。第2回のBCP訓練に現地参加もしくはWeb参加していた赤十字病院からは、「自分のところでも同じように取り組みたい」という声が上がった。

「医療機関は法改正やガイドラインの改訂に早急に対応しなければならない状況ですが、どのようにすればいいか悩んでいるところも多いはずです。当院の取り組みを参考にしてもらえるように、全国の赤十字病院には情報を共有していきたいと思います」（岡田氏）。

次回のBCP訓練のシナリオには、サイバー攻撃を受けた際の医師会・調剤薬局や近隣の医療機関との連携に関する項目も追加する予定だ。

尾喜氏は「SOCのサービスを提供していても、システム構築が得意でない会社もあります」と前置きした上で、「CEC SOCとはシステムに関する会話がスムーズにできたので、実力があると感じられました。BCP訓練にも積極的に参加してくれましたし、サイバー攻撃で本当に困ったときにも、的確に対応してくれると期待しています」と評価した。

SOCベンダーを選定するにあたり、複数のSOCベンダーを訪問し、SOCの拠点を見学したという岡田氏と尾喜氏。CEC SOCの「雰囲気の良さ」を感じたのも、選定の決め手の一つだった。

「SOCアナリストは現場から離れた場所で仕事をしているので、どうしても疎遠になってしまうのではないかと思っていました。ところが、CEC SOCの拠点を見学したときは、SOCアナリストが我々の前に出てきて、親切に説明してくれたのです。若いメンバーが生き生きと働いていて、良い職場だと思いました」（岡田氏）。

最後に岡田氏は、サイバーセキュリティ対策のパートナー選びに悩む医療機関や企業に向けて、「膝を突き合わせて一緒に考えてくれるパートナーを探しましょう。インシデントが起こったときに本当に頼れる会社なのかどうかを見極めることが大切です」とアドバイスした。

＞   CEC SOC

＞   CSIRTインシデント訓練サービス

※記載の情報は取材時のもので、閲覧時には変更されている可能性があります。