外部接続ネットワークの歯科医院向けセキュリティ対策ガイド

歯科医院の外部接続ネットワークに潜むサイバー攻撃リスクを知っていますか?VPN経由の侵入経路や閉域網神話の落とし穴、義務化されたセキュリティ対策まで、歯科従事者が今すぐ確認すべき知識をまとめました。
tmp

外部接続ネットワークの歯科医院リスクと対策

院内ネットワークが「閉じていると思っていたのに」、保守用VPN経由で5億円の復旧費用が発生することがあります。


この記事の3ポイント要約
🔌
外部接続は「思った以上に多い」

レセプトオンライン請求・オンライン資格確認・電子カルテ保守など、歯科医院は知らないうちに複数の外部接続ポイントを持っています。

⚠️
ランサムウェアの感染経路の約7割はVPN

警察庁の調査では、ランサムウェア感染経路の約70%がVPN機器からの侵入です。「接続していないから安全」という閉域網神話は崩壊しています。

2023年4月からセキュリティ対策は義務

医療法施行規則の改正により、診療所を含む全医療機関にサイバーセキュリティ対策が義務化されました。未対応は法的リスクにもつながります。


外部接続ネットワークの種類と歯科医院での実態

「うちはネットに繋いでいないから大丈夫」と考えている歯科医院は、少なくありません。ところが実際には、現代の歯科医院は複数の外部接続ポイントを持っているケースがほとんどです。これが問題の出発点です。


歯科医院が持つ主な外部接続の種類を整理すると、次のようなものがあります。


  • 🦷 レセプトオンライン請求回線:2024年9月末までに原則義務化された、保険請求をオンラインで送る専用ネットワーク(IP-VPNまたはIPsec/IKE方式)
  • 💳 オンライン資格確認回線:2023年4月から原則義務化。マイナンバーカードで患者の保険資格をリアルタイム確認するためのネットワーク
  • 🔧 電子カルテ・レセコンの保守用回線:ベンダーがリモートでシステムを保守・修理するために接続するVPN回線
  • 🌐 Web予約システム・インターネット回線:患者向け予約受付、スタッフのWebブラウジング、メールなど


これらはそれぞれ別々の目的で導入されますが、すべてが「院外とのネットワーク接続点」です。つまり、外部から院内へ侵入できる入口になりえます。


特に見落とされがちなのが、電子カルテやレセコンのベンダー保守用VPN回線です。ベンダーが管理するVPN機器が院内に設置されているケースでは、「その機器がベンダーの資産であるため、脆弱性管理の責任の所在があいまいになりやすい」という問題があります。結局、ファームウェアが長期間更新されないまま放置されてしまうことがあるのです。


つまり外部接続は「自分で意識して導入したもの」以外にも存在します。把握漏れが最大のリスクです。


厚生労働省も2025年に「外部接続点の洗い出しシート」を公開しており、医療機関が自院の外部接続を可視化することを強く求めています。まず自院に何本の外部接続があるかを確認することが、対策の第一歩です。


外部接続ネットワークから侵入するランサムウェアの経路

ランサムウェアとは、感染したパソコンやサーバーのデータを暗号化して使用不能にし、復元と引き換えに身代金を要求するウイルスです。医療機関を狙ったランサムウェア攻撃は近年急増しており、歯科医院も例外ではありません。


警視庁の調査(令和5年上半期)によれば、ランサムウェアの感染経路の約70%がVPN機器からの侵入、次いでリモートデスクトップからの侵入が約10%を占めています。これが原則です。


具体的な侵入経路は主に3つです。


  • 🔓 VPN機器の脆弱性:ベンダーが定期的なファームウェア更新を怠ったり、脆弱性が発見されても適用が遅れたりすることで、攻撃者に侵入口を提供してしまいます
  • 🖥️ リモートデスクトップ(RDP)の設定不備:弱いパスワードや不適切な設定で、攻撃者が遠隔操作でログインできてしまいます
  • 🏢 サプライチェーン経由:取引先業者(給食委託先、医療機器メーカーなど)のネットワークが侵害され、そこを踏み台にして院内に侵入されるケースです


2026年2月には、日本医科大学武蔵小杉病院のナースコールシステムが、医療機器保守用VPN装置を侵入経路として、ランサムウェア攻撃を受けました。約1万人分の個人情報が院外に持ち出されています。これは大病院の話だけではありません。


2025年の調査では、攻撃者からの平均身代金要求額は3億円、実際の復旧にかかる費用は平均5億円に達しています。復旧費用には、システム再構築費、データ復旧費、専門家への調査委託費などが含まれます。さらに、個人情報の漏洩が起きた場合、1人あたり平均2万8,000円の損害賠償が発生するとされており、患者500人分でも約1,400万円の賠償額になります。痛いですね。


診療停止に追い込まれた場合の収入損失も深刻です。徳島県のつるぎ町立半田病院はランサムウェア感染で通常診療の全面再開まで約2ヶ月を要しました。歯科医院規模でも、電子カルテが使えなくなれば診療が事実上停止するリスクがあります。


参考情報:ランサムウェアの感染経路と感染後の被害について詳しく解説されています。
医療機関における外部接続のセキュリティ対策(ネットワンシステムズ)


外部接続ネットワーク「閉域網神話」の崩壊と歯科医院への影響

「うちの院内ネットワークはインターネットに繋がっていないから安全だ」という考え方を「閉域網神話」と呼びます。医療界でまだ根強く残るこの誤解が、被害を拡大させる最大の原因の一つです。


閉域網神話が崩壊している理由は明確です。現代の歯科医院では、前述のとおり、レセプト請求・オンライン資格確認・ベンダー保守回線など、すでに複数の外部接続が存在しています。「完全に閉じている」という状況はほとんどの歯科医院では実現していません。


加えて、たとえ院内システムがインターネットに直接繋がっていなくても、外部から持ち込まれたUSBメモリがウイルスに感染していた場合、それを院内の端末に接続するだけでウイルスが広がる可能性があります。実際に過去の被害事例でも、「外部から持ち込まれた記憶媒体の可能性が疑われている」と報告されたケースがあります。これは使えそうな知識です。


外部接続とは無関係に見えますが、同様の侵入経路としてスタッフの私的スマートフォンや個人用パソコンを院内Wi-Fiに接続する行為も重大なリスクです。個人端末がマルウェアに感染していた場合、そのデバイスを経由して院内ネットワーク全体に感染が広がる可能性があります。


また、院内で歯科医師や衛生士が業務目的以外のWebサイトを閲覧したり、不審なメールの添付ファイルを開いたりすることも、外部からのウイルス侵入経路になります。これらは「外部接続」というよりは「内部からの感染」ですが、結果として外部の攻撃者が院内ネットワークへのアクセスを確立することに繋がります。


つまり、閉域網だからといって安心はできません。外部接続そのものの管理と、院内端末・スタッフの行動管理、この両輪で対策することが条件です。


参考情報:閉域網神話の危険性と医療機関が今すべき対策について解説されています。
閉域網の安全神話とその危険性(henry note)


外部接続ネットワークに関する義務化と歯科医院が対応すべき法的要件

歯科医院がセキュリティ対策を「任意」と思っているとしたら、それは大きな間違いです。これは義務です。


2023年4月、医療法施行規則第14条2項の改正により、病院だけでなくすべての診療所・助産所に対してサイバーセキュリティ確保の措置が義務化されました。都道府県による立入検査でも、サイバーセキュリティ対策の実施状況が確認されます。


2023年5月には、「医療情報システムの安全管理に関するガイドライン第6.0版」が厚生労働省から公開されました。このガイドラインでは、外部接続ネットワークに関して以下のような対応が求められています。


  • 📋 外部接続点の把握・管理:院内ネットワークに接続されているすべての外部回線を洗い出し、リスト化する
  • 🔒 接続元制限の実施:外部ネットワークに接続する際、ネットワークや機器を適切に選定し、通信を監視する
  • 📶 無線LANの不正アクセス対策:院内Wi-Fiに適切なセキュリティ設定を施す(WPA2/WPA3方式の採用など)
  • 🛡️ ネットワーク機器の脆弱性対応:VPN装置やルーターのファームウェアを最新の状態に保つ


さらに2024年度の診療報酬改定では、診療録管理体制加算の要件にサイバーセキュリティ対策が追加されました。セキュリティ対策が診療報酬にも影響する時代になっています。


厚生労働省は令和6年8月、「特に迅速に対応すること」として3つの緊急対策を全国の医療機関に通達しました。①パスワードを強固なものに変更し使い回さない、②IoT機器を含む情報資産の通信制御を確認する、③ネットワーク機器の脆弱性にファームウェア更新を迅速に適用する、の3点です。歯科医院であっても例外ではありません。


参考情報:医療機関のセキュリティ義務化の背景と、まず実施すべき対策が具体的にまとめられています。
医療機関のサイバーセキュリティ|開業医・クリニックがまず実施すべき対策(ALSOK)


外部接続ネットワークを守る歯科医院向けセキュリティ対策の実践ステップ

ここまでの内容を踏まえ、歯科医院が今すぐ取り組める外部接続ネットワークの対策を段階的に整理します。特別なIT知識がなくても実施できるものから始められます。


【ステップ1:外部接続の「棚卸し」を行う】


まず自院にどれだけの外部接続があるかを確認します。レセプト請求回線、オンライン資格確認回線、電子カルテ・レセコンのベンダー保守回線、インターネット接続、Web予約システムなど、接続先と回線種別を一覧化します。厚生労働省が公開している「外部接続点の洗い出し方(簡易版)」が参考になります。棚卸しが基本です。


【ステップ2:パスワードを今すぐ見直す】


ネットワーク機器や電子カルテシステムのパスワードが、初期設定のままになっていないか確認します。パスワードの3原則「長く(12文字以上)・複雑で(英大小文字+数字+記号の組み合わせ)・使い回さない」に従い、各システムで異なるパスワードを設定します。これだけで多くの攻撃を防ぐことができます。特別な機器やスキルは不要です。


【ステップ3:ネットワーク機器のファームウェアを更新する】


VPN機器、ルーター、無線LANアクセスポイントなどのファームウェアが最新状態かを確認します。ベンダーに保守を委託している場合は、「最新のファームウェアが適用されているか」を確認することが重要です。「ベンダーが管理していると思っていた」という認識のずれが、被害の原因になったケースが複数報告されています。


【ステップ4:UTM(統合脅威管理)の導入を検討する】


外部接続経由の脅威を効率よくまとめてブロックしたい場合、UTM(Unified Threat Management)の導入が有効です。UTMはファイアウォール・アンチウイルス・不正侵入検知・Webフィルタリングなどの機能を1台にまとめたセキュリティ機器です。


歯科医院向けの専用サービスとしては、「メディカルネットDental光」のように、UTM機能一体型の光回線サービスも存在します。回線とセキュリティをまとめて管理できるため、管理コストを抑えながら対策を強化できます。これは使えそうです。


【ステップ5:バックアップを「オフライン」で取得する】


ランサムウェアに感染した場合、バックアップさえあれば身代金を払わずにデータを復元できます。ポイントは、バックアップデータを院内のネットワークから切り離した場所(オフサイト)に保管することです。いわゆる「3-2-1ルール」(3つのコピー、2種類のメディア、1つはオフサイト保管)が理想ですが、まずはクラウドバックアップと外付けHDDへの定期バックアップを組み合わせるだけでも大きく違います。


【ステップ6:スタッフへの教育を定期的に行う】


技術的な対策と同様に重要なのが、スタッフの意識向上です。フィッシングメールの見分け方、私用デバイスを院内Wi-Fiに接続しない習慣、不審なUSBを挿さないルールなどを定期的に共有します。小規模な歯科医院こそ、全員で気軽にセキュリティについて話し合える雰囲気づくりが効果的です。


厚生労働省が運営する医療機関向けセキュリティ教育支援ポータルサイト「MIST(Medical Information Security Training)」では、セキュリティ研修コンテンツやインシデント相談窓口が無料で利用できます。


参考情報:医療機関向けセキュリティ教育支援ポータルサイトで、無料で研修コンテンツが利用できます。
医療機関向けセキュリティ教育支援ポータルサイト MIST(厚生労働省)


外部接続ネットワーク対策で歯科医院が見落としがちな独自リスク

一般的なセキュリティ記事ではあまり取り上げられない、歯科医院ならではの外部接続リスクについて触れておきます。意外ですね。


口腔内カメラ・デジタルX線・3Dスキャナーの「医療機器ネットワーク接続」問題があります。近年の歯科医院では、口腔内カメラ、デジタルパノラマX線装置、3D光学印象スキャナーなどがPCや院内ネットワークに直接接続されています。これらの医療機器は、レセコンや電子カルテとは別の機器として導入されることが多く、セキュリティ管理の「死角」になりやすいのです。2025年の調査では、医療機器の約65%に既知の重大な脆弱性が存在することが判明しています。口腔内カメラのドライバソフトが古いまま放置されているケースは、決して珍しくありません。


クラウド型歯科ソフトのセキュリティ管理も見落とされがちです。近年急増しているクラウド型の歯科管理ソフトや予約システムは、インターネット経由でデータを送受信します。つまり、接続するPCのセキュリティ状態が低ければ、そのPCが外部からの侵入口になります。OSの更新が止まっているWindows端末や、アンチウイルスが期限切れの端末を使い続けることは、クラウドサービスを使っている歯科医院では特にリスクが高いと言えます。


レセプト電算処理システムとの連携時の注意点もあります。歯科レセコンと各種審査支払機関(社会保険診療報酬支払基金、国民健康保険団体連合会)との電算オンライン請求では、IP-VPN方式またはIPsec/IKE方式の回線を使います。このVPN機器の管理状態を定期的に確認することが法的にも求められています。管理を外部委託している場合は、委託契約書に「脆弱性対応・ファームウェア更新の実施と報告」を明記することが望ましいです。これが条件です。


最後にインシデント発生時の対応体制についても備えておく必要があります。万が一サイバー攻撃を受けた場合、①感染端末をネットワークから切断→②厚生労働省および都道府県衛生主管部局への連絡→③個人情報漏洩が疑われる場合は個人情報保護委員会への報告、という流れが法的に求められています。この手順を事前にスタッフ全員で共有しておくことが、被害拡大を最小化する鍵です。


参考情報:医療機関がサイバー攻撃を受けた際の連絡先と報告義務について確認できます。
医療機関等がサイバー攻撃を受けた際の厚生労働省連絡先(厚生労働省)


十分な情報が集まりました。記事を作成します。