境界防御だけでは足りない時代に、トラフィック監視・IDS/IPS・ログ監視をどう組み合わせるか

2026年2月に日本医科大学武蔵小杉病院が公表した第5報では、侵入経路は医療機器保守用VPN装置の脆弱性を悪用した不正アクセスとされ、同院はその後、外部接続の原則「都度接続」化、接続元アドレス制限、水平展開防止設定に加え、異常等の検出・監視を行い、安全確認を進めたと説明しています。まずこの事案が示しているのは、入口を固めるだけでは足りず、入られた後や異常な通信も見なければならないという現実です。

厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」システム運用編も、同じ方向を示しています。同編は、医療情報システムでは原則としてセキュアなネットワークを用い、ネットワークの論理的または物理的な構成の分割、接続機器の制御、通信データの制御を行う必要があるとしています。そのうえで、ネットワーク選択では境界防御的な対応を原則としつつ、巧妙化する攻撃に対しては境界防御的な対応だけでは十分ではないと明記しています。

ここで大事なのは、「境界防御はもう古いから捨てる」という話ではないことです。厚労省が言っているのは、境界防御は土台として必要だが、それだけでは不十分という整理です。さらに同編は、近年はすべてのトラフィックを検証するゼロトラストの考え方も出てきている一方、導入には費用や管理負担が大きく、小規模医療機関等では容易でないことがあるため、リスク分析の結果を踏まえて判断することが望ましいとしています。つまり、医療機関に必要なのは流行語の採用ではなく、現実的な監視の組み合わせです。

このテーマで実務上まず押さえたいのは、トラフィック監視の位置付けです。厚労省は、境界防御を採用する場合でも、トラフィックの監視等、多層防御の考え方を導入することが求められるとしています。つまり、ファイアウォールで「通す・通さない」を決めるだけでなく、通っている通信の中に異常がないかを見ることが必要です。特に、VPN、外部保守回線、セグメント間通信のように、正規通信に見える経路ほど監視の価値が高くなります。ここで「VPN境界、保守経路、重要セグメント間を優先監視点とする」という整理は、武蔵小杉病院の公表事案と厚労省ガイドラインを踏まえた専門家の見解です。

次に考えるべきがIDS/IPSです。厚労省は、情報を保護する手段としてファイアウォールの導入に触れたうえで、それに加えて、不正な攻撃を検知するシステム（IDS）、不正な攻撃を遮断するシステム（IPS）などの採用も検討する必要があるとしています。さらに、ネットワーク環境におけるセキュリティ診断を定期的に実施し、パッチ適用等の対策を講じることも重要だとしています。したがって、IDS/IPSは“入れれば安心”の箱ではなく、監視・診断・脆弱性対策と一体で使う前提の仕組みとして理解するのが正確です。

一方、ログ監視はネットワーク監視の代わりではありません。厚労省のシステム運用編は、利用者アクセスについてアクセスログを記録し、定期的にログを確認することを遵守事項として示し、少なくとも利用者のログイン時刻、アクセス時間、ログイン中に操作した医療情報が特定できるように記録することを求めています。さらに、アクセスログの改ざん防止、時刻同期、アラートの仕組みまで求めています。つまりログ監視は、単に「残す」ことではなく、後から調べられる状態と、必要時に気づける状態を作ることです。

この点は、令和7年5月版のチェックリストマニュアルでも具体化されています。同マニュアルでは、アクセスログ管理について、システム運用担当者は利用者のアクセスログを記録し、企画管理者等はそのログを定期的に確認すること、アクセスログは少なくともログイン時刻、アクセス時間、操作内容が特定できるよう記録することが必要だと説明しています。さらに、立入検査の際に直接確認する可能性にも触れています。したがって、ログ監視は“あると望ましい運用”ではなく、日常管理と説明責任の両方に関わる基本対策です。

ここで見落とされやすいのが、ログ監視とIDS/IPSは目的が違うという点です。IDS/IPSは主に通信や攻撃兆候の検知・遮断に寄り、アクセスログは誰が何にアクセスし、何をしたかの追跡に寄ります。厚労省の記述を実務向けに言い換えると、トラフィック監視は「怪しい流れ」を見る、IDS/IPSは「怪しい攻撃」を止める、アクセスログは「怪しい操作」を追うためのものです。この三者を同じものとして扱うと、導入しても運用の穴が残りやすくなります。これは制度文書の見出しそのものではなく、厚労省資料を組み合わせた専門家の見解です。

さらに、厚労省は、境界防御をしていても侵入があり得ることを前提に、内部脅威監視やEDRなどの措置も有効だとしています。加えて、モニタリングは費用対効果を踏まえ、リスクの高いところに重点的に行うことも考えられるとしています。ここから実務上導けるのは、すべての端末・すべての通信・すべてのログを一律に重く監視するのではなく、個人情報を含む資源、外部接続点、保守経路、重要サーバから優先して監視を厚くする、という考え方です。なお、「重要サーバや外部接続点から段階的に重点監視する」という整理は、厚労省の費用対効果・リスク重点化の考え方を実務へ落とした専門家の見解です。

もう一つ重要なのは、ログが取れないシステムを放置しないことです。厚労省のシステム運用編は、医療情報システムにアクセスログ機能がない場合、業務日誌等により操作者、操作内容等を記録する代替策を講じる必要があるとしています。これは、古い医療機器や周辺システムが“ログ機能なしだから仕方ない”で終わらず、代替的に操作記録を残すことまで求めている、という意味です。ログ監視はツール導入の話だけではなく、証跡をどう残すかという運用設計でもあります。

したがって、医療機関にとって現実的な答えは、境界防御かゼロトラストかの二択ではありません。まずセキュアなネットワークと分離を土台にし、その上でトラフィック監視を置き、必要な境界にIDS/IPSを加え、個人情報を含む資源や重要サーバではアクセスログの定期レビューとアラートを回し、侵入後を見越してEDRや内部脅威監視を重ねる。このような多層監視こそが、厚労省のガイドラインに最も整合的な考え方です。これは公的資料を踏まえた専門家の見解です。