セキュリティ対策vol.24|医療機関向けガイドライン設定のすゝめ
高まるサイバー攻撃への対策
先般からお伝えしているように、ランサムウェアなどのサイバー攻撃により、医療機関等が多大な被害を受けてしまうという事例が多数発生しております。
2021年には徳島県の病院が、2022年には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり地域の医療体制に重大な被害が発生することになりました。
大規模なサイバー攻撃の被害が発生した事例では、いずれも復旧までに約3か月の期間を要しています。
また、小規模な攻撃を受けた事例でも電子カルテが参照できなくなる、レントゲンの再撮影が必要になる等の被害が生じています。
経営への金銭的な被害の面では調査・復旧の費用で数億円、診療ができなかったことによる逸失利益として十数億円程度の損害が出る可能性があります。
2022/11/25| 大阪急性期・総合医療センターの事例から学ぶセキュリティ対策
この状況を踏まえ厚生労働省では以下の3つの取り組みを行うことが決定されたことは前回お伝えさせていただきました。
2023/7/24┃2023年度中に医療機関が対応しなければいけない事とは
・医療情報システムに関するガイドラインを改訂する
・サイバーセキュリティ対策についても立ち入り検査の対象にする
・医療機関向けのチェックリストを作成する
以上の3つの取り組みは2023年度中から取り組む喫緊の課題として認識されており、チェックリストのマニュアルも発表されるなど、日々情報が更新をされているものになります。
それでは、決定された内容について具体的に見ていきたいと思います。
決定の背景
具体的になすべきことをお伝えする前に、なぜ3つの取り組みが必要なのかを解説させていただきます。
以下にまとめさせていただきました。
- ガイドラインを遵守してください、と音頭を取るだけでは対策は進まない
- そこで立ち入り検査を行い、実際の運用がされているかをチェックする
- それでも、「対策不十分」と判断されてもどこから手を付けていいか分からない医療機関があることも分かっている
- そのためのチェックリストを提示し、具体的なチェック場所を明示することにした
ガイドラインの遵守にたどり着くために国が強い危機感を持って取り組んでいる、というストーリーが読み取れます。
それではそのストーリーの中でシステムの管理者と利用者が演じる役割、対策はどのようなものでしょうか。
アストンではセキュリティリスクのチェックリストを無料で配布しています。
5分でわかるセルフチェックリストとなっているため、お気軽にお試しください。
システム管理者の実施する対策
- 管理者の明確化:
システムの管理責任者を確定しましょう。これにより、セキュリティと更新プログラムの管理が確実に行われます。 - バックアップ戦略:
バックアップは災害対策として遠隔地や高所に置くことが多いですが、サイバー攻撃に備えて次の対策が必要です
・バックアップサーバとファイルサーバの接続を分離します。
・クラウドサービスを使用してバックアップを暗号化します。
・バックアップを書き換え不可に設定します。
・オフライン媒体(テープ、USBなど)にもバックアップを保存します。 - RDPのセキュリティ:
RDP(リモートデスクトップ)を利用して遠隔地から攻撃されないために、以下の方法でセキュアに使用しましょう。
・必要な場合以外はRDPを無効化します。
・シングルサインオン(SSO)や多要素認証を使用します。
・リモート接続を許可するIPアドレスを制限します。
・VPN接続を活用します。 - パスワードの更新:
ネットワーク機器の初期パスワードを変更しましょう。初期設定のままではセキュリティリスクが高まります。 - ログの監視と保管:
サイバー攻撃の前兆を検知するためにログ監視ソフトウェアを導入し、ログを適切に保存しましょう。 - チェックリストの利用:
厚生労働省のチェックリストやマニュアルを使用して、自己評価と改善を行いましょう。システム委託先にも同様のチェックリストの使用を要請しましょう。
<ご相談はアストンへ>
それでも一からの構築は一人でするには時間も手間もかかります。
アストンでは最新のセキュリティ事情に精通した担当者が対応をさせていただきます。
新基準にあわせたルールの策定など、お気軽にお問い合わせください。
まずはご相談ください。
株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/