サーバ保守学(30)

（執筆者）亀田医療情報株式会社 塚田智

みなさん、こんにちは、サーバー保守学第30回です。新型コロナウイルスは、新たな変異株であるオミクロン株の流行が懸念されているものの、現時点では感染者も少なく落ち着いた状況が続いています。みなさんの医療施設では、このタイミングを生かして、次の感染流行に備えつつ、これまで出来なかったことに着手されていることと思います。いまのうちに、ITを積極的に活用した業務改革を推進しておきましょう。

さて、2か月ほど前に徳島県の病院が、ランサムウェアの被害を受けました。院内のPCやサーバーのファイルが暗号化されたため、電子カルテや医事会計など重要なシステムが利用できなったようです。被害は大きく、未だ診療制限をしていています。どのような経路でランサムウェアの被害が拡大したか、経緯はまだ不明ですが、リモート接続に利用していたファイアウォールの脆弱性が狙われたのではないか、と推測する報道もあります。そこで、今回は、医療施設の外部からリモート接続する際のリスクの話です。システムの保守に必要なリモート接続ですが、どのようなリスクと対策があるか確認しておきましょう。

リモート接続のリスクと対策を確認しよう（１）

１．リモート接続の必要性

医療施設へ外部からリモート接続するのは、次に挙げるように、主にサーバーとアプリケーションの保守作業が目的です。

1. サーバーのハードに問題ないか確認する。
2. CPU、メモリー、ストレージの利用状況を確認する。
3. アプリケーションプログラムを更新する、または更新のためのファイルを配布する。
4. システムの設定を変更する、または障害を調査し修正する。
5. 標準的なマスターや、薬品添付文書などのデータを更新する。

これらの作業は、業者から医療施設へリモート接続し、オンライン環境で実施されます。業者が現地に訪問して実施することは、ほとんどありません。

サーバーやアプリケーションの保守作業はネットワーク越しに行われます。実際にサーバー室に入ってハードそのものを確認、操作するのは、部品交換などの特別な場合のみです。ネットワーク越しの作業であれば、施設内でも施設外でもできることは同じです。さらに、施設内では、作業場所が限られていたり、作業に必要な情報を取得しにくい場合が多く、非効率なことがあります。もちろん、現地までの移動にかかる時間や費用を削減する意味もあります。そのために、ほとんどのシステムにおいてリモート接続が必要になります。

２．リモート接続のリスク

施設外からリモート接続で保守作業をする場合のリスクを挙げてみます。

1. 作業者が無断でデータを取得する。
2. 許可していない作業者が作業する。
3. 本来の保守作業以外の操作をする。
4. リモート接続の経路を使って不正侵入する。
5. 悪意を持ってシステムを攻撃する。

これらは、リモート接続でなく現地作業でも同様のリスクがありますが、リモート接続では、作業場所や時間が限定されず、作業の状況を目視で確認しにくいため、リスクが増大すると言えます。このようなリスクがあることを認識して、対策を考えていきましょう。

３．ユーザーIDはシステム管理者が発行する

リモート接続は、業者のPCからインターネット経由で、施設内のルーターまたはファイアウォールとVPN接続します。その上で、サーバーなど施設内の機器を操作します。そのため、次のような操作で、作業者のユーザー認証が必要です。

1. ルーターやファイアウォール経由でVPN接続する。
2. サーバーのOSを操作する。
3. アプリケーションを操作する。
4. データベースなどミドルウェアを操作する。

VPN接続、OS、アプリケーション、ミドルウェアには、それぞれにユーザーIDとパスワードなどによる認証が必要です。ユーザーIDは、施設のルールに従って発行し、業者にも利用してもらいます。これらが不正利用されると、業者以外の者がシステムに侵入し操作できてしまいます。ユーザーIDはとても大事な情報ですので、必ず施設内のシステム管理者が発行し、厳重に管理しなくてはなりません。ユーザーIDの発行を業者任せにしている、導入作業時に業者が発行したユーザーIDを継続して利用している、という事例を見かけますが、早急に是正すべきと思います。

４．ユーザーIDは個人別に発行する

厳重に管理すべきものにもかかわらず、ユーザーIDを複数の業者や、複数の作業者が共用している事例も多いようです。ユーザーIDは個人ごとに1つずつ発行するべきでもので、共用するものではありません。システム管理者が、ユーザーIDの発行や削除などの管理業務を煩雑に思うことは理解できますが、大切なものですので是非個人ごとに発行してください。

個人ごとに発行してあれば、明確な利用履歴が記録できます。個人の操作が記録されている前提であれば、不必要なアクセスを抑制する効果もあります。個人ごとの管理において、業者の作業者の退職や担当変更によるユーザーIDの削除の対応が難しいと想像できます。これには簡単で確実な方法はありません。日頃から業者とのコミュニケーションを促進し、タイミング良く連絡をもらえるようにしましょう。1年に1回程度に利用頻度が低い場合は、その都度ユーザーIDを有効にする、というのも対策の1つだと思います。

VPN接続などでは、作業者ごとの証明書、スマートフォン、メールアドレスを使って認証する、2要素認証を採用することが増えています。2要素認証はユーザーIDの共用を防止する効果もあります。また、認証のために業者の会社所有のデバイスを利用することで、退職者が使えなくなるという効果もあります。

今回は、リモート接続のユーザーIDの管理について考えました。次回は、接続後の作業のリスクについて考えたいと思います。