病院の保守用VPNはなぜ危険なのか？武蔵小杉病院事例で見る侵入口の盲点

病院の保守用VPNはなぜ危険なのか

危険なのは、保守用VPNが「例外接続」として放置されやすいことです

病院の保守用 VPN が危険になりやすいのは、外来や入院の業務継続を優先するあまり、例外的な接続が恒常運用になりやすいからです。医療機器ベンダーの遠隔保守、夜間の障害対応、複数ベンダーの切り替え、機器更新待ちの暫定接続などが積み重なると、「誰が使う接続なのか」「いつ閉じるのか」「どこまで到達できるのか」が曖昧になりやすくなります。

しかも保守用 VPN は、一般社員向け VPN と違って利用者が限定され、普段は使われていないように見えることがあります。そのため、棚卸しや監視の優先度が下がり、実は最も危険な外部接続点が管理の外に落ちる状態が起きやすくなります。

問題は製品そのものより、責任分界と緊急遮断運用です

ここで重要なのは、病院の保守用 VPN 問題を「どの製品が危ないか」という比較記事にしないことです。実際の現場で崩れやすいのは、誰が管理責任者で、どこまでの責任をベンダーが持ち、院内側は何を確認し、異常時に誰が切るのかという運用分界です。

厚生労働省の医療分野ガイダンスでも、医療機関はサイバー攻撃リスク低減のための最低限の措置を早急に実施することが求められています。つまり、病院の保守用 VPN は、便利な遠隔保守の話ではなく、医療情報システムの安全管理と事業継続の話として扱う方が正確です。

武蔵小杉病院事例で見える盲点

この事例から読み取れるのは「保守用VPNが主役になった」ことです

日本医科大学武蔵小杉病院の時系列記事では被害範囲と復旧経過を整理しましたが、保守用 VPN 記事として重要なのは、侵入経路が医療機器保守用 VPN 装置の脆弱性悪用と明記されたことです。これは「病院の中のどこかで感染した」のではなく、保守接続という外部接点が主役になった事例として読めます。

第5報では、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。つまり、保守用 VPN は単なる入口ではなく、内部へ踏み込むための最初の足場になりました。

被害を広げたのは「接続点」だけでなく「つながった先の仕様」です

第5報で見逃せないのは、被害範囲拡大の理由として、ナースコールサーバーの仕様上、患者基本情報が更新時に自動送信・蓄積される仕組みだったと説明されている点です。つまり、保守用 VPN の問題は VPN 装置だけでは完結せず、つながった先に何が集まり、どこまで届くかまで見ないと実態を掴めません。

これは医療機関に限らず、遠隔保守用接続が危険になる典型パターンです。VPN を残すか消すかだけでなく、「接続先サーバーは何を保持しているか」「そのサーバーから横に何が見えるか」を台帳化できていないと、入口の評価を誤りやすくなります。病院の外部接続点棚卸しと合わせて読むと、保守用接続を入口だけでなく到達範囲まで含めて点検しやすくなります。

病院は「通常診療」と「接続見直し」を同時進行で回さなければなりません

武蔵小杉病院事例では、外来・入院・救急は通常通りと案内されつつ、ナースコール復旧や基幹システム強化作業が進みました。これは病院特有の難しさです。一般企業のように「全部止めて調査」しにくいため、診療継続と接続点の見直しを同時に進める前提で運用設計する必要があります。

だからこそ、保守用 VPN の記事では「ゼロにできるか」ではなく、残すならどう制御し、切るなら誰が切り、戻すなら何を確認して戻すかを主役にした方が現場の検索意図に合います。

保守用VPNで見落としやすい接続点

病院で危険なのは「あるはずの接続」が見えていない状態です

保守用 VPN 問題の本質は、ネットワーク図に載っている接続ではなく、契約や障害対応の現場では使われているのに、台帳や棚卸しでは見えていない接続にあります。古い回線、入れ替え待ちの機器、ベンダー専用の遠隔メンテナンス、機器ベンダーと SIer の責任分界が分かれている接続は、特に落ちやすいです。

IPA の 2025 年 10 月 31 日の注意喚起でも、ネットワーク境界に位置する VPN 機器等の深刻な脆弱性が相次ぎ、情報窃取だけでなく ORB 化による踏み台化、長期潜伏、社会的・法的リスクに至るおそれがあると示されています。つまり、境界機器は病院内部に入るためだけでなく、外部攻撃の中継点にもなり得ると見る必要があります。

「接続先」と「届く範囲」を別々に持たないと統制しにくくなります

保守用 VPN の棚卸しで特に重要なのは、接続先 IP や装置名だけで終わらせないことです。接続先の先にあるサーバー、そこに載るデータ、同一セグメントの機器、横方向に見える資産まで整理しないと、リモート保守の入口と業務影響の大きさがつながりません。

厚生労働省のガイダンスが「最低限の措置」として迅速な対応を求めているのも、こうした外部接続点が医療情報システムの安全管理に直結するからです。製品比較より先に、どの接続が何に届くのかを持つ必要があります。

何を台帳化・接続制御すべきか

保守用VPNの台帳は「ネットワーク台帳」より広く持つ必要があります

病院の保守用 VPN 台帳は、IP アドレスや機器名の一覧だけでは足りません。必要なのは、接続相手、契約主体、利用目的、利用時間帯、接続先、届く範囲、保持データ、停止条件、緊急連絡先、直近の更新日、直近の確認日です。ここまで持ってはじめて、病院の説明責任と現場の制御がつながります。

また、台帳は作るだけでは意味がありません。IPA が挙げる迅速なパッチ適用、公開設定の最小化、可視化と監視、多層防御、体制整備と訓練を運用に落とすには、接続点単位で状態を持ち、月次レビューや障害時レビューに戻せる形が必要です。

病院で現実的なのは「全部止める」ではなく「残す条件を厳格化する」ことです

多くの病院では、保守用 VPN を完全にゼロにはできません。医療機器ベンダーの保守、夜間障害対応、法令上の保守記録、サポート契約の都合など、接続が必要な理由は現実にあります。そのため現実的な運用は、残す接続を厳格に絞り込み、条件を狭め、切る手順を用意することです。

第5報の再発防止策でも、VPN 装置の脆弱性アップデート情報の早期適用、外部接続の原則都度接続化、接続元アドレス制限、多要素認証、水平展開を防ぐ設定、職員教育が並んでいます。これは「VPN は危険だから禁止」ではなく、接続を残すなら統制を細かく持てというメッセージとして読むのが自然です。

保守接続を残すなら最低限必要な運用

平時に必要なのは、更新、監視、棚卸しの運用頻度です

保守用 VPN を残す場合、平時の運用で最低限必要なのは、脆弱性情報の受領、更新適用、接続点の棚卸し、ログ確認、接続テスト、責任分界レビューの頻度を決めることです。厚労省のガイダンスは医療機関に最低限の措置を早急に求めていますし、IPA は迅速なパッチ適用と機器更新を最初の対策として挙げています。

つまり、病院の保守用 VPN は「設置時に設定したら終わり」の設備ではなく、継続的に見直す運用対象です。特に、長期間使われていない接続や、ベンダー側の担当変更で引き継ぎが曖昧な接続は、最優先で見直すべきです。

有事に必要なのは、緊急遮断と段階的復旧の判断材料です

インシデントが起きたときに必要なのは、「止めるべきか」ではなく、「何をどの順番で止め、どの条件を満たしたら戻すか」です。病院では診療継続との両立が必要なので、接続点ごとに緊急遮断の優先順位、止めた場合の業務影響、代替手段、復旧判断者を持っておく必要があります。

武蔵小杉病院事例でも、基幹システム全般のセキュリティ強化作業完了後に監視を行い、安全確認を経て復旧しています。つまり、遮断と復旧はセットの運用です。止める手順だけでなく、戻す前に何を確認するかも明文化すべきです。

病院の外部接続点を整理するならASM診断 PRO

ASM診断 PRO は病院内部のランサムウェア侵入を直接防ぐ製品ではありません。ただし事案後に、どの公開面が外から見えていて、どの接続点に管理責任者がいて、何から確認すべきかを整理する入口としては使いやすい構成です。保守用 VPN そのものが外部から直接見えていなくても、関連する公開導線、放置されたホスト名、管理対象外の外部接点の棚卸しにはつなげられます。

特に、病院の外部接続点管理はネットワーク部門だけでは閉じません。医療情報部門、ベンダー管理、病棟運用、経営層の報告がまたがるため、外から見える接点と運用台帳をつなぐ導線があると説明しやすくなります。

よくある質問（FAQ）

病院の保守用VPNは、なぜ一般社員向けVPNより危険になりやすいのですか？

利用者が限定されているため棚卸しや監視の優先度が下がりやすく、例外接続が恒常運用化しやすいからです。加えて、接続先が医療機器や周辺サーバーであるため、到達先と保持データの把握が甘いと被害範囲を読み違えやすくなります。

武蔵小杉病院事例では何が侵入口だったのですか？

第5報では、侵入経路は医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスと公表されています。また、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。

病院は保守用VPNを全部やめるべきですか？

現実には難しい場合が多いです。重要なのはゼロにすることより、残す接続を絞り、都度接続化、接続元制限、多要素認証、更新、監視、緊急遮断手順を接続点ごとに持つことです。

厚労省や IPA は何を最低限の対策として見ていますか？

厚労省は医療機関にサイバー攻撃リスク低減のための最低限の措置を迅速に取ることを求めています。IPA は VPN 機器等に対して、迅速なパッチ適用・更新、公開設定の最小化、可視化と監視、多層防御、体制整備と訓練を主な対策として示しています。

何を最初に台帳化すればよいですか？

接続相手、管理責任者、用途、接続時間帯、接続元制限、MFA、接続先サーバー、届く範囲、緊急遮断手順、最終更新日、最終確認日です。病院では診療継続と 事案対応を両立するため、技術情報だけでなく運用責任も同じ台帳に載せる必要があります。

まとめ

病院の保守用 VPN が危険なのは、VPN という技術そのものより、例外接続として放置されやすく、管理責任者、責任分界、接続先、緊急遮断手順が曖昧になりやすいからです。武蔵小杉病院の第5報、厚労省の ガイダンス、IPA の注意喚起を並べると、保守用接続は病院の安全管理と事業継続の両方に直結する接続点として扱う必要があると分かります。

現実的な第一歩は、保守用 VPN をなくす議論ではなく、接続点を台帳化し、都度接続、接続元制限、多要素認証、更新、監視、緊急遮断運用を接続点ごとに持つことです。そのうえで、外から見える公開面と外部接点を外部観点で再確認できる状態に戻すと、事案後の説明と是正を進めやすくなります。 侵入経路の整理だけで終わらせず、医療機関のランサムウェアリスク全体の見直しへつなぐ導線として扱うのが実務的です。