病院の保守用VPNはなぜ危険なのか？武蔵小杉病院事例で見る侵入口の盲点

病院の保守用VPNはなぜ危険なのか

危険なのは、保守用VPNが「例外接続」として放置されやすいことです

病院の保守用 VPN が危険になりやすいのは、外来や入院の業務継続を優先するあまり、例外的な接続が恒常運用になりやすいからです。医療機器ベンダーの遠隔保守、夜間の障害対応、複数ベンダーの切り替え、機器更新待ちの暫定接続などが積み重なると、「誰が使う接続なのか」「いつ閉じるのか」「どこまで到達できるのか」が曖昧になりやすくなります。

しかも保守用 VPN は、一般社員向け VPN と違って利用者が限定され、普段は使われていないように見えることがあります。そのため、棚卸しや監視の優先度が下がり、実は最も危険な外部接続点が管理の外に落ちる状態が起きやすくなります。

問題は製品そのものより、責任分界と緊急遮断運用です

ここで重要なのは、病院の保守用 VPN 問題を「どの製品が危ないか」という比較記事にしないことです。実際の現場で崩れやすいのは、誰が管理責任者で、どこまでの責任をベンダーが持ち、院内側は何を確認し、異常時に誰が切るのかという運用分界です。

厚生労働省の医療分野ガイダンスでも、医療機関はサイバー攻撃リスク低減のための最低限の措置を早急に実施することが求められています。つまり、病院の保守用 VPN は、便利な遠隔保守の話ではなく、医療情報システムの安全管理と事業継続の話として扱う方が正確です。

武蔵小杉病院事例で見える盲点

この事例から読み取れるのは「保守用VPNが主役になった」ことです

日本医科大学武蔵小杉病院の時系列記事では被害範囲と復旧経過を整理しましたが、保守用 VPN 記事として重要なのは、侵入経路が医療機器保守用 VPN 装置の脆弱性悪用と明記されたことです。これは「病院の中のどこかで感染した」のではなく、保守接続という外部接点が主役になった事例として読めます。

第5報では、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。つまり、保守用 VPN は単なる入口ではなく、内部へ踏み込むための最初の足場になりました。

被害を広げたのは「接続点」だけでなく「つながった先の仕様」です

第5報で見逃せないのは、被害範囲拡大の理由として、ナースコールサーバーの仕様上、患者基本情報が更新時に自動送信・蓄積される仕組みだったと説明されている点です。つまり、保守用 VPN の問題は VPN 装置だけでは完結せず、つながった先に何が集まり、どこまで届くかまで見ないと実態を掴めません。

これは医療機関に限らず、遠隔保守用接続が危険になる典型パターンです。VPN を残すか消すかだけでなく、「接続先サーバーは何を保持しているか」「そのサーバーから横に何が見えるか」を台帳化できていないと、入口の評価を誤りやすくなります。病院の外部接続点棚卸しと合わせて読むと、保守用接続を入口だけでなく到達範囲まで含めて点検しやすくなります。

病院は「通常診療」と「接続見直し」を同時進行で回さなければなりません

武蔵小杉病院事例では、外来・入院・救急は通常通りと案内されつつ、ナースコール復旧や基幹システム強化作業が進みました。これは病院特有の難しさです。一般企業のように「全部止めて調査」しにくいため、診療継続と接続点の見直しを同時に進める前提で運用設計する必要があります。

だからこそ、保守用 VPN の記事では「ゼロにできるか」ではなく、残すならどう制御し、切るなら誰が切り、戻すなら何を確認して戻すかを主役にした方が現場の検索意図に合います。電子カルテ停止や紙運用への切り替えまで事例整理記事で追いたい場合は、大阪急性期・総合医療センター事案を合わせて読むと、保守接続の弱さが診療現場へどう跳ね返るかを確認しやすくなります。

保守用VPNで見落としやすい接続点

病院で危険なのは「あるはずの接続」が見えていない状態です

保守用 VPN 問題の本質は、ネットワーク図に載っている接続ではなく、契約や障害対応の現場では使われているのに、台帳や棚卸しでは見えていない接続にあります。古い回線、入れ替え待ちの機器、ベンダー専用の遠隔メンテナンス、機器ベンダーと SIer の責任分界が分かれている接続は、特に落ちやすいです。

IPA の 2025 年 10 月 31 日の注意喚起でも、ネットワーク境界に位置する VPN 機器等の深刻な脆弱性が相次ぎ、情報窃取だけでなく ORB 化による踏み台化、長期潜伏、社会的・法的リスクに至るおそれがあると示されています。つまり、境界機器は病院内部に入るためだけでなく、外部攻撃の中継点にもなり得ると見る必要があります。

「接続先」と「届く範囲」を別々に持たないと統制しにくくなります

保守用 VPN の棚卸しで特に重要なのは、接続先 IP や装置名だけで終わらせないことです。接続先の先にあるサーバー、そこに載るデータ、同一セグメントの機器、横方向に見える資産まで整理しないと、リモート保守の入口と業務影響の大きさがつながりません。

厚生労働省のガイダンスが「最低限の措置」として迅速な対応を求めているのも、こうした外部接続点が医療情報システムの安全管理に直結するからです。製品比較より先に、どの接続が何に届くのかを持つ必要があります。

何を台帳化・接続制御すべきか

保守用VPNの台帳は「ネットワーク台帳」より広く持つ必要があります

病院の保守用 VPN 台帳は、IP アドレスや機器名の一覧だけでは足りません。必要なのは、接続相手、契約主体、利用目的、利用時間帯、接続先、届く範囲、保持データ、停止条件、緊急連絡先、直近の更新日、直近の確認日です。ここまで持ってはじめて、病院の説明責任と現場の制御がつながります。

また、台帳は作るだけでは意味がありません。IPA が挙げる迅速なパッチ適用、公開設定の最小化、可視化と監視、多層防御、体制整備と訓練を運用に落とすには、接続点単位で状態を持ち、月次レビューや障害時レビューに戻せる形が必要です。

病院で現実的なのは「全部止める」ではなく「残す条件を厳格化する」ことです

多くの病院では、保守用 VPN を完全にゼロにはできません。医療機器ベンダーの保守、夜間障害対応、法令上の保守記録、サポート契約の都合など、接続が必要な理由は現実にあります。そのため現実的な運用は、残す接続を厳格に絞り込み、条件を狭め、切る手順を用意することです。

第5報の再発防止策でも、VPN 装置の脆弱性アップデート情報の早期適用、外部接続の原則都度接続化、接続元アドレス制限、多要素認証、水平展開を防ぐ設定、職員教育が並んでいます。これは「VPN は危険だから禁止」ではなく、接続を残すなら統制を細かく持てというメッセージとして読むのが自然です。

保守接続を残すなら最低限必要な運用

平時に必要なのは、更新、監視、棚卸しの運用頻度です

保守用 VPN を残す場合、平時の運用で最低限必要なのは、脆弱性情報の受領、更新適用、接続点の棚卸し、ログ確認、接続テスト、責任分界レビューの頻度を決めることです。厚労省のガイダンスは医療機関に最低限の措置を早急に求めていますし、IPA は迅速なパッチ適用と機器更新を最初の対策として挙げています。

つまり、病院の保守用 VPN は「設置時に設定したら終わり」の設備ではなく、継続的に見直す運用対象です。特に、長期間使われていない接続や、ベンダー側の担当変更で引き継ぎが曖昧な接続は、最優先で見直すべきです。

有事に必要なのは、緊急遮断と段階的復旧の判断材料です

インシデントが起きたときに必要なのは、「止めるべきか」ではなく、「何をどの順番で止め、どの条件を満たしたら戻すか」です。病院では診療継続との両立が必要なので、接続点ごとに緊急遮断の優先順位、止めた場合の業務影響、代替手段、復旧判断者を持っておく必要があります。

武蔵小杉病院事例でも、基幹システム全般のセキュリティ強化作業完了後に監視を行い、安全確認を経て復旧しています。つまり、遮断と復旧はセットの運用です。止める手順だけでなく、戻す前に何を確認するかも明文化すべきです。

病院経営層が確認すべき論点

保守用VPNの問題は、情報システム部門だけの課題ではありません

病院の保守用 VPN は、技術担当だけが知っていればよい設備ではありません。接続を残す判断には、診療継続、ベンダー契約、機器保守、患者情報保護が同時に関わるため、経営層や事務部門が責任分界を把握していることが重要です。

厚生労働省や MIST が経営層向け対応を強調しているのも、保守用 VPN が単なる機器設定ではなく、病院の継続運営に直結する外部接続点だからです。経営層が見るべきなのは「VPN 製品名」ではなく、「何本の例外接続があり、誰が止める判断を持っているか」です。

予算判断では『全部止める』より『残す条件を狭くする』方が現実的です

保守用 VPN の見直しでは、理想論としてすべて都度接続化したくても、機器保守や契約の制約で段階移行になることがあります。そのため経営判断では、残す接続をどこまで狭くできるかを見る方が現実的です。

具体的には、接続元制限、多要素認証、個人 ID、利用時間帯制限、接続先分離、緊急遮断手順を接続点ごとに持てているかを確認すると、優先順位を付けやすくなります。病院では、予算配分も「新しい機器を買う」だけでなく、残す接続の条件を厳格化する運用改善に向けた方が効果が出やすいことがあります。

保守用VPNの台帳を陳腐化させないには

使われていない接続を毎月確認すると、危険な例外が残りにくくなります

保守用 VPN の台帳が役に立たなくなるのは、接続が追加される一方で、使われていない接続が残り続けるからです。病院では障害対応や機器更新のたびに例外が増えやすいため、毎月「今月使われなかった接続」を確認するだけでも整理が進みます。

使われなかった接続は、不要か、用途が変わったか、記録が追えていないかのどれかです。いずれにしても、台帳の見直し対象として優先度が高いと考えた方が安全です。

機器更改やベンダー変更のタイミングで必ず台帳を更新します

保守用 VPN は、機器更改やベンダー変更のあとに古い接続が残りやすくなります。病院では保守契約と現場運用が別々に動くため、契約は変わったのに接続は残ったままという状態が起きやすいからです。

そのため、更改や契約更新のタイミングでは、接続元、到達先、ログ、緊急遮断手順、残す理由まで再確認した方がよいです。台帳の更新は、機器の更新と同じだけ重要な作業と考えた方が実務に合います。

障害後レビューで『臨時に開けた接続』を必ず元へ戻します

病院では障害対応で臨時の接続や設定変更が入りやすく、そのまま恒常化すると危険です。障害後レビューでは、臨時に開けた接続が閉じられたかを必ず確認した方が安全です。

こうした確認を習慣化すると、保守用 VPN の台帳は単なる一覧ではなく、例外管理と復旧管理を兼ねた運用資料になります。病院で保守用 VPN を安全に残すには、台帳を更新し続ける仕組みが必要です。

とくに病院では、ベンダー変更や障害対応が重なると例外接続が増えやすいため、台帳更新を定例化しないとすぐに古くなります。保守用 VPN を安全に残すには、増えた接続を戻す運用まで決めておく必要があります。

保守用 VPN の安全性は、装置よりも台帳を更新し続けられるかで大きく変わります。

つまり病院では、残す接続を減らし続ける運用まで含めて設計する必要があります。

保守用 VPN の安全性は、例外接続を戻せるかでも決まります。

例外接続を減らす運用こそ、病院では重要です。

保守用 VPN を残すなら、接続を減らし続ける運用まで病院側で持つ必要があります。

その継続運用が安全性を左右します。

病院では継続確認が前提です。

保守用VPN見直しを月次レビューへ戻すには

月次レビューでは、使われた接続より『使われなかった接続』を先に見ます

病院の保守用 VPN 管理では、新しく使われた接続より、使われなかった接続を先に見る方が整理が進みます。使われていない接続は、不要か、運用が変わったか、記録が追えていないかのどれかだからです。

毎月「未使用接続」を確認して停止候補へ戻すだけでも、例外接続は減りやすくなります。病院の保守用 VPN は、使われなかったものから減らす方が現実的です。

障害後レビューと月次レビューをつなぐと、例外接続が残りにくくなります

障害対応で一時的に開けた接続は、その場で閉じたつもりでも台帳へ戻らないことがあります。そこで、障害後レビューの結果を月次レビューへ自動的に戻す形にしておくと、臨時接続の置き忘れを減らしやすくなります。

病院では、障害対応と通常運用が別チームで動くことも多いため、レビューを分断しない方が安全です。保守用 VPN の見直しは、月次レビューへ戻る形を作って初めて継続しやすくなります。

保守用VPNを残す場合の現実的な絞り込み方

接続元、時間帯、到達先を狭くするだけでも危険度は下げられます

病院で保守用 VPN を完全廃止できない場合でも、危険度を下げる手段はあります。接続元の固定、多要素認証、利用時間帯制限、到達先の分離、踏み台経由化など、接続条件を細かく絞るだけでも、例外接続の危険度は下げやすくなります。

重要なのは、「残すか止めるか」の二択で止まらないことです。実務では、残すならどこまで狭くできるかを見た方が、病院の事情に合った改善へ落とし込みやすくなります。残す接続ほど条件を厳しくするという考え方が現実的です。

ベンダーごとに条件を変えず、病院側の最低基準を持つべきです

保守用 VPN の統制が崩れやすいのは、ベンダーごとに接続条件がばらつくからです。機器ごとの事情はあっても、病院側で最低限必要な条件を共通化しておくと、例外が増えにくくなります。

たとえば、個人 ID、接続元制限、利用時間帯、緊急遮断手順、月次レビュー、ログ取得方法は、ベンダー差より先に病院側の基準として持つ方が安全です。そうすると、契約都合で接続が増える一方の状態を抑えやすくなります。

病院の外部接続点を整理するならASM診断 PRO

ASM診断 PRO は病院内部のランサムウェア侵入を直接防ぐ製品ではありません。ただし事案後に、どの公開面が外から見えていて、どの接続点に管理責任者がいて、何から確認すべきかを整理する入口としては使いやすい構成です。保守用 VPN そのものが外部から直接見えていなくても、関連する公開導線、放置されたホスト名、管理対象外の外部接点の棚卸しにはつなげられます。

特に、病院の外部接続点管理はネットワーク部門だけでは閉じません。医療情報部門、ベンダー管理、病棟運用、経営層の報告がまたがるため、外から見える接点と運用台帳をつなぐ導線があると説明しやすくなります。

保守用 VPN の見直しで難しいのは、接続制御の話と経営層説明の話が分かれやすいことです。ASM診断 PRO で公開面や外部導線を洗い出しておくと、いま外から何が見えているかを病院全体で共有しやすくなります。

そのうえで、保守接続台帳と突き合わせると、どの接続が現役で、どの公開導線が残っているかを整理しやすくなります。病院の保守用 VPN を「装置の話」だけで終わらせず、外部接点全体の見直しへつなぐ入口として使うのが自然です。

さらに、使われていない接続や障害後の臨時接続を公開面確認と一緒に棚卸しすると、例外接続の後始末を進めやすくなります。病院の保守用 VPN 見直しでは、台帳と外部観点を同時に持つ方が継続しやすくなります。

よくある質問（FAQ）

病院の保守用VPNは、なぜ一般社員向けVPNより危険になりやすいのですか？

利用者が限定されているため棚卸しや監視の優先度が下がりやすく、例外接続が恒常運用化しやすいからです。加えて、接続先が医療機器や周辺サーバーであるため、到達先と保持データの把握が甘いと被害範囲を読み違えやすくなります。

武蔵小杉病院事例では何が侵入口だったのですか？

第5報では、侵入経路は医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスと公表されています。また、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。

病院は保守用VPNを全部やめるべきですか？

現実には難しい場合が多いです。重要なのはゼロにすることより、残す接続を絞り、都度接続化、接続元制限、多要素認証、更新、監視、緊急遮断手順を接続点ごとに持つことです。

厚労省や IPA は何を最低限の対策として見ていますか？

厚労省は医療機関にサイバー攻撃リスク低減のための最低限の措置を迅速に取ることを求めています。IPA は VPN 機器等に対して、迅速なパッチ適用・更新、公開設定の最小化、可視化と監視、多層防御、体制整備と訓練を主な対策として示しています。

何を最初に台帳化すればよいですか？

接続相手、管理責任者、用途、接続時間帯、接続元制限、MFA、接続先サーバー、届く範囲、緊急遮断手順、最終更新日、最終確認日です。病院では診療継続と 事案対応を両立するため、技術情報だけでなく運用責任も同じ台帳に載せる必要があります。

まとめ

病院の保守用 VPN が危険なのは、VPN という技術そのものより、例外接続として放置されやすく、管理責任者、責任分界、接続先、緊急遮断手順が曖昧になりやすいからです。武蔵小杉病院の第5報、厚労省の ガイダンス、IPA の注意喚起を並べると、保守用接続は病院の安全管理と事業継続の両方に直結する接続点として扱う必要があると分かります。

現実的な第一歩は、保守用 VPN をなくす議論ではなく、接続点を台帳化し、都度接続、接続元制限、多要素認証、更新、監視、緊急遮断運用を接続点ごとに持つことです。そのうえで、外から見える公開面と外部接点を外部観点で再確認できる状態に戻すと、事案後の説明と是正を進めやすくなります。 侵入経路の整理だけで終わらせず、医療機関のランサムウェアリスク全体の見直しへつなぐ導線として扱うのが実務的です。

また、病院経営層にとって重要なのは、保守用 VPN を一律禁止することではなく、残る接続の条件と責任分界を説明できる状態にすることです。接続点ごとの判断材料が揃えば、診療継続と安全管理の両立を進めやすくなります。

加えて、使われていない接続や障害時の臨時接続を毎月見直し、台帳を更新し続けると、保守用 VPN の管理は陳腐化しにくくなります。病院で必要なのは、残す接続を厳格化し、残さなくてよい接続を消し続ける仕組みです。