日本医科大学武蔵小杉病院が2026年2月に公表した第5報では、侵入経路は医療機器保守用VPN装置の脆弱性を悪用した不正アクセスとされ、再発防止策として外部接続の原則「都度接続」化、接続元アドレス制限、長い管理者パスワード、多要素認証の導入などが示されました。警察庁も、令和6年中のランサムウェア被害222件のうち、感染経路アンケートではVPN機器55.0%、リモートデスクトップサービス31.0%と公表しています。遠隔接続の問題は、もはや設定画面の話ではなく、どう運用ルールにするかの問題です。

厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」は、医療機関の職員が外部からアクセスする場合、事前の許可、外部アクセス時の認証・認可、ネットワーク要件、端末要件を定める必要があるとしています。さらに、事業者による保守では、保守要員の専用アカウントの使用、アクセスログの収集、作業計画との照合、終了後の報告まで求めています。つまり、公的ガイドラインが求めているのは「VPNを入れること」ではなく、接続前・接続中・接続後の統制です。

ここから導ける実務上の結論は明快です。保守用VPNの安全性は、機器の型番よりも、運用ルールの質で決まるということです。3日目の記事では、そのルールを7つに分けて示すと、読者にとって実装しやすい内容になります。

1. まず「どの機器が遠隔保守されているか」を台帳に載せる

遠隔接続の統制は、対象資産が見えていなければ始まりません。厚労省のチェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理を求めたうえで、リモートメンテナンスを利用している機器の有無を事業者に確認することを明記しています。さらに、MDS/SDS(医療情報セキュリティ開示書)の回収も有効とされています。したがって、病院の運用ルールでは、「遠隔保守の有無」「接続先機器」「接続元事業者」「契約根拠」「停止手順」まで台帳に含めるところから始めるべきです。

2. 接続できる人を“事前承認制”にする

厚労省ガイドラインは、外部からのアクセスについて、接続できる職員に関する事前の許可と、利用者と利用権限の範囲を設定する手続を求めています。保守でも同じ発想が必要です。実務上は、誰が、いつ、どの機器に、何の目的で、どこまで操作できるのかを申請書で固定し、緊急時を除いて承認なしの接続を認めない形が基本です。ベンダーに「必要なときに入ります」と言わせたままにしないことが重要です。

3. 常時接続ではなく「都度接続」を原則にする

武蔵小杉病院は再発防止策として、外部接続を原則「都度接続」に変更し、接続元アドレス制限を適用したと公表しました。厚労省チェックリストマニュアルも、ネットワーク機器について接続元制限を確認項目にしています。運用ルールとしては、保守時だけ回線を開ける、許可済みの送信元だけ通す、終わったら閉じるという3点を明文化するのが実務的です。これにより、攻撃者が狙える時間と面を大きく減らせます。

4. 認証は「二段階」ではなく「二要素」で考える

厚労省ガイドライン第6.0版では、令和9年度時点で稼働していることが想定される医療情報システムを今後導入または更新する際は、二要素認証を採用するシステムの導入、またはこれに相当する対応を求めています。チェックリストマニュアルでも、二要素認証を実装している、または令和9年度までに実装予定であることが確認項目になっています。さらにQ&Aでは、二段階認証であっても同じ認証要素を重ねているだけなら、二要素認証の要求を満たさないことがあり得ると説明しています。したがって、運用ルール上は「OTPを足したから終わり」ではなく、記憶・生体・物理媒体のうち独立した2要素を使うことを基準にすべきです。

5. ベンダー共用IDをやめ、専用アカウントにする

厚労省ガイドラインは、保守要員がサーバにアクセスする際には、保守要員の専用アカウントを使用させることを求めています。さらに、個人情報へのアクセスの有無、アクセスした対象個人情報、作業内容を記録することも求めています。これは、実務上「ベンダー会社で1つの共通IDを使い回す運用」は避けるべきだ、という意味です。誰が入ったか分からない状態では、監査も事故調査もできません。運用ルールでは、委託先企業単位ではなく、作業者個人単位で識別できるアカウントを標準にするべきです。

6. ログは「取る」だけでなく「確認して閉じる」

保守の安全管理で特に重要なのは、リモートメンテナンス時には必ずアクセスログを収集し、作業計画書と照合し、終了後速やかに報告を受けるという点です。チェックリストマニュアルも、アクセスログについて、少なくとも利用者のログイン時刻、アクセス時間、操作内容が特定できるように記録し、定期的に確認することを求めています。つまり、ログは保存して終わりではなく、申請内容どおりの作業だったか、余計な操作がなかったかを確認して初めて統制になるということです。

7. 緊急時の例外運用を先に決めておく

現場では、障害対応や脆弱性の緊急対応で、平時の承認フローどおりに動けないことがあります。厚労省ガイドラインも、保守手続は原則として事前申請・承認だが、障害時や緊急を要する脆弱性対応では事後承認も想定するとしています。また、非常時には非常時用ユーザアカウントや非常時用機能の手順を整備し、使用されたことを検知できるよう管理・監査し、正常復帰後は継続使用できないよう変更することを求めています。加えて、厚労省は、医療機関等がサイバー攻撃を受けた、または疑いがある場合には速やかに厚生労働省へ連絡するよう案内しています。例外運用を作るなら、誰が承認し、どこまで許し、いつ閉じるかまで先に決める必要があります。

最後に強調したいのは、これらが「おすすめ設定集」ではないことです。厚労省のチェックリストマニュアルでは、立入検査でチェックリストの記入状況に加え、台帳、連絡体制図、BCP、規程類の現物確認が行われるとされています。しかも、少なくとも年1回はチェックリストを用いた点検が求められています。つまり、遠隔接続の統制は、思いつきの設定変更ではなく、規程・台帳・承認・ログレビューまで含めた継続運用でなければ不十分です。