2026年2月27日に日本医科大学武蔵小杉病院が公表した第5報では、同院で発生したランサムウェア事案の侵入経路が「医療機器保守用VPN装置の脆弱性を悪用した不正アクセス」だったと説明されています。攻撃を受けたシステムには、ナースコールサーバーや病棟端末に加え、患者バイタル監視システムの保守用VPN装置が含まれていました。つまり、今回の論点は「電子カルテそのもの」ではなく、外部から院内につながる保守経路です。

この論点は、個別病院の特殊事情ではありません。警察庁は、令和6年中のランサムウェア被害報告件数を222件と公表し、被害企業・団体へのアンケートでは、侵入経路としてVPN機器が55.0%、リモートデスクトップサービスが31.0%だったとしています。さらに、対価要求を伴う被害134件のうち、82.8%がダブルエクストーションでした。外部接続の管理不備は、いまのランサムウェア対策で最優先に見るべき入口です。

ここで大切なのは、VPNという技術そのものが危険なのではないという点です。IPAは2025年10月31日、ネットワーク境界に置かれるVPN機器等では深刻な脆弱性が相次いで報告され、実際に悪用事例も確認されていると注意喚起しました。IPAは、これらの脆弱性が悪用されると、組織内への侵入だけでなく、機器が攻撃の中継拠点にされるおそれもあるとしています。問題は「VPNを使っていること」より、境界機器をつけっぱなし・更新遅延・監視不足のまま運用していることです。

今回の病院事案でも、再発防止策として、VPN装置の脆弱性アップデート情報の入手と早期適用、外部接続を原則“都度接続”に変更、接続元アドレス制限の適用、多要素認証の導入、長い管理者パスワードへの変更、水平展開を防ぐ設定などが公表されています。これは「侵入口対策で何を優先すべきか」の実務的な答えに近い内容です。

では、病院や診療所は何から見直せばよいのでしょうか。現時点で優先順位が高いのは、次の5項目です。

1. 外部接続の棚卸しをする

最初にやるべきは、「どこから院内に入れるのか」を一覧化することです。保守用VPN、リモートデスクトップ、ベンダー保守回線、クラウド管理画面、医療機器の遠隔保守口など、例外扱いで増えた接続経路は把握漏れが起きやすい領域です。IPAは、公開設定の最小化と公開状況の把握を重要な対策として挙げており、病院側もVPN装置を含む全システムの点検継続を再発防止策に入れています。台帳に載っていない外部接続は、存在しないのではなく、管理できていないだけと考えるべきです。

2. 「常時接続」を見直す

保守効率のために、VPNや遠隔保守回線を24時間開けたままにしている組織は少なくありません。しかし、侵入口が常時開いていれば、攻撃者にとっても都合がよくなります。武蔵小杉病院は再発防止策として、外部接続を原則「都度接続」に変更したと明記しています。保守が必要な時だけ有効化し、終わったら閉じる。これは地味ですが、攻撃面を大きく減らす現実的な手法です。

3. 接続元を絞る

接続を必要時だけにしても、接続元が無制限では十分ではありません。同病院は、接続元アドレス制限を適用し、インターネットからの攻撃を困難にする設定へ変更したと説明しています。IPAも、管理インターフェースを外部公開しないこと、不要なサービスやポートを停止することを対策として示しています。遠隔保守は、誰でも・どこからでも入れる形ではなく、接続元を限定したうえで開けるのが基本です。

4. 認証を強くする

警察庁は、VPN機器やリモートデスクトップ経由の侵入について、脆弱性や強度の弱い認証用パスワード等の情報が利用されたと考えられるものが大半としています。病院側も、全コンピューターの管理者パスワードを推測困難な長いパスワードへ変更し、多要素認証の導入を進めるとしています。したがって、遠隔接続で最低限求めたいのは、長く推測困難な認証情報、使い回し禁止、管理者アカウントの見直し、多要素認証です。

5. 侵入後の横展開を前提に備える

入口対策だけでは十分ではありません。もし1台の境界機器や保守端末が侵害された場合でも、そこから院内全体へ広がらない構成が必要です。武蔵小杉病院は、万一侵入を受けても院内の水平展開ができない設定対策を講じるとし、IPAもネットワークセグメント分離、多層防御、BCP・訓練を対策に挙げています。つまり、リモート接続対策は「入れない工夫」と「入られても広がらない工夫」の両方で考える必要があります。

ここまで読むと、技術対策の話に見えるかもしれません。しかし、実際には運用設計と組織設計の問題でもあります。厚生労働省は、「医療情報システムの安全管理に関するガイドライン 第6.0版」のページで、令和7年5月版の医療機関向けサイバーセキュリティ対策チェックリスト、チェックリストマニュアル、そして令和6年6月発出のサイバー攻撃を想定したBCP策定の確認表やひな形を公開しています。遠隔接続の見直しも、単発の設定変更ではなく、チェックリストとBCPに落として継続管理するのが安全です。

また、疑わしい兆候が出た場合に「まず何をするか」を事前に決めておく必要があります。厚生労働省は、医療機関等がサイバー攻撃を受けた、またはその疑いがある場合や、医療情報システム障害が起きた場合には、速やかに厚生労働省等の所管省庁へ連絡する必要があると案内しています。武蔵小杉病院でも、攻撃判明後にネットワーク遮断、行政機関・警察への報告、外部接続停止、保全、ログ調査が順次実施されました。遠隔接続を見直す記事では、予防と初動はセットで伝えるべきです。