医療機関向けサイバーセキュリティ対策―月次の“定期健診”でレジリエンスを高める〜 JAPANSecuritySummit 2025レポート
株式会社SYNCHRO 北口氏より、医療機関を取り巻くサイバー脅威の現状と、医療現場で実装しやすい対策アプローチが紹介されました。キーワードは「サイバーレジリエンス(攻撃を前提に、被害を最小化し早期復旧する力)」と、その実現手段としての「毎月の定期健診」「バックアップ強化」「保険」の三本柱です。
株式会社SYNCHROとKATABAMIの概要
冒頭では株式会社SYNCHROの歩みが紹介されました。同社は2001年から国内で唯一、手の甲の静脈認証による本人認証機器を提供し、全国約2万サイトでの利用実績を持ちます。近年はサイバーセキュリティ領域に注力し、「KATABAMI」と名付けたセキュリティ技術・サービス群を開発。経済産業省の脆弱性診断関連の検証事業者認定、サービス基準審査登録、日本セキュリティ大賞では優秀賞を受賞、さらにフォーティネットジャパンとのビジネスアライアンスなど、対外的な評価・連携も強化している点が語られました。
なぜ“VPNだけ”では危ないのか:ゼロトラストの考え方
医療機関でも多いリモート保守や拠点間接続で、インターネットVPNが利用される一方、VPN機器の脆弱性が攻撃の入口になるケースが増えています。境界機器(FW / ルータ / UTM)が突破されると、ネットワーク内が“フリーアクセス状態”になり、暗号化・窃取・破壊などの被害が広がりやすいといった構造的課題が整理されました。
そこで注目されるのがゼロトラストの発想です。KATABAMIもその一種として、端末同士が「相手が正当か」を通信の都度確認し、通信自体も暗号化する“エンドツーエンド”の守りを特徴とします。
KATABAMIの技術的ポイント
KATABAMIは、外部から見えない排他的な通信経路を作ることで、安全なリモート接続を実現する技術として説明されました。端末認証(デバイス認証)と暗号化により、なりすましや中間者攻撃を理論的に排除し、鍵も一定期間で更新(キーローテーション)することで前方秘匿性も確保する設計です。
また、永久秘密鍵がメモリ上に残るリスクへの対策として、鍵を分割してクラウド側に隠す仕組み(大日本印刷の技術を活用)を実装した点も紹介され、堅牢性の担保に重点を置いていることが強調されました。
医療機関を狙うランサムウェア:現状と“復旧の難しさ”
続いて、国内でのランサムウェア被害動向が示されました。医療分野でも複数の被害事例が取り上げられ、電子カルテ停止など診療継続に直結するインパクトがある点が改めて共有されました。侵入経路としてはVPN機器が多いこと、そして「バックアップは取っていても復旧できない」ケースが少なくないことが重要論点として提示されました。理由として、バックアップ自体が暗号化されて使えなくなる(攻撃者がバックアップを先に潰す)という手口が説明されました。
医療機関の課題:予算・人材・更新不足
医療機関の対策が進みにくい背景として、(1)予算不足(医療資源投資が優先される)、(2)IT人材不足、(3)防御システムの整備・更新の遅れ(サポート切れOSや脆弱なファームウェアが残る)という三点が整理されました。特に更新頻度の低さは、既知の手口が流通している現状ではリスクを高めやすいとされ、継続的な点検・是正の必要性が強調されました。
提案:医療機関を守る“三つの盾”
株式会社SYNCHROの提案は、医療機関の現実的制約を踏まえた「三つの盾」で構成されます。
- 毎月の脆弱性診断(“定期健診”)
院内に小型機器を設置し、KATABAMIの排他的な通信を用いて、遠隔からネットワーク内部を検証する「KATABAMI VDP」を紹介。従来、人手で実施する内側診断は有効だが高コストになりがちな一方、同方式は月次で回すことを前提に、価格面も含めて導入しやすくしたい考えが示されました。毎月約2,000件の新たな脆弱性手口が生まれるという前提から、「年1回では遅い」というメッセージも明確でした。
また、よくある指摘例として「複合機のID / パスワードが初期設定のまま」など、基本対策の徹底が被害の芽を摘むことも共有されました。 - バックアップ強化(イミュータブルの発想)
従来型バックアップはVPN経由で到達され暗号化される恐れがあるため、“攻撃者から見えない場所に保管する”考え方が説明されました。厚労省が推奨するオフラインバックアップは有効だが運用負荷が高い場合があるため、オンラインであっても改ざん・削除されにくい「イミュータブルバックアップ」を選択肢として提示。KATABAMIの通信で隔離性を高め、定期的(例:24時間に1回)にバックアップを確保する方向性が語られました。 - 保険(有事費用への備え)
最後に、サイバー攻撃を100%防ぐことは難しい前提に立ち、調査費用・復旧費用・賠償対応に備える保険の重要性が説明されました。保険料は日頃の対策状況が査定に影響するため、月次診断とバックアップがあることで評価が上がり得る、という相互補完関係もポイントです。一方で、身代金や逸失利益は補償対象外になり得るため、「払わずに早期復旧できる体制」が結局もっとも重要であり、そのために三つの盾を組み合わせる、という整理でした。
取り組みの拡張:提携と“遠隔支援”の強化
後半では、フォーティネットジャパンとの協業(山口セキュアDXコア)や、医療機関向けサイバーレジリエンスサービスの共同開発(サイリーグホールディングスとの連携)など、支援体制の拡張も紹介されました。特に、UTM運用の放置を防ぐ「リモート健康診断」や、ネットワーク上の未知端末の把握、更新できない機器を局所的に隔離する「アイソレーション」といった、現場の“困りどころ”に寄せたサービス設計が印象的でした。
まとめ
本セミナーは、医療機関におけるサイバー対策を「高価なスポット対応」から「月次で回す定期健診」へ転換し、バックアップと保険を組み合わせて“止めない・戻す”力を高める、という提案が軸でした。予算・人材制約が厳しい現場でも、遠隔支援と標準化された運用で前に進めること、そしてサプライチェーン的な連携が増えるほど“自院だけの問題ではない”点も改めて示されました。診療継続の観点から、技術だけでなく運用の継続性(頻度)に重心を置いた内容として、実務担当者・経営層双方に示唆の多いセッションでした。
