人・組織、プロセス、システムの面から
見直したいサイバーセキュリティ対策
2023年6月、厚生労働省より、医療機関に向けた「医療機関におけるサイバーセキュリティ対策チェックリスト」が公開された。このチェックリストは、同じく厚生労働省が作成している「医療情報システムの安全管理に関するガイドライン」の中から、優先的に取り組むべき内容がまとめられたものだ。複数の病院がランサムウェアの被害に遭うなど、医療機関へのサイバー攻撃をきっかけに作成されたものだが、医療機関に限らず、一般企業や、システムを提供する事業者においても参考にできる内容となっている。ランサムウェアなど巧妙なサイバー攻撃を防ぎきることが難しい状況となっている今、チェックリストの内容を参考に対策を見直していただきたい。
現実的な構成でセキュリティ対策を支援
チェックリストは、医療機関、薬局、医療情報システム・サービス事業者別に分けられている。リストの使い方や各チェック項目の解説などがまとめられたマニュアルもあり、利用しやすいものとなっている。
例として、図1と図2の医療機関向けチェックリストを見てみよう。令和5年度中に取り組む内容、令和6年度中に取り組む内容に分かれている。1回目のチェックで、全ての項目が「はい」とならないことを想定して、「いいえ」となった場合の対応目標日記入欄や、2回目のチェック欄が設けられるなど、構成も現実的だ。
事例を教訓に導き出されたチェック項目
ランサムウェアによる侵害から復旧まで約2カ月を要した徳島県の病院では、情報システム担当者が1人であり、マルチベンダーをまとめるには無理な体制であった。また、システムのセキュリティ設定は事業者に任せており、機器のセキュリティ運用は責任の所在が不明確という状況で、システム面だけでなく、体制面、運用面の課題が浮き彫りになった。その課題が考慮され、チェックリストに反映されているのだ。では、各組織において、来年度中までに何が優先的に取り組むべき事項になっているか確認していこう。
■令和5年度中に取り組むべき事項※
医療機関、薬局、医療情報システム・サービス提供事業者共通の事項としては、下記が挙げられる。
1.体制構築
①医療情報システムの安全管理責任者設置
2.医療情報システムの管理・運用
<システム全般について>
①リモートメンテナンス(保守)利用機器の有無の確認
②事業者からの、製造業者・サービス事業者による医療情報セキュリティ開示書の提出
<サーバーについて>
③利用者の職種・担当業務(属性)別の情報区分ごとのアクセス利用権限設定
④退職者や使用していないアカウントなど、不要なアカウントの削除
⑤アクセスログの管理
<ネットワーク機器について>
⑥セキュリティパッチ(最新ファームウェアや更新プログラム)適用
⑦接続元の制限
さらに医療機関と薬局には下記が追加される。
2.医療情報システムの管理・運用
<システム全般について>
⑧サーバー、端末PC、ネットワーク機器の台帳管理
3.インシデント発生に備えた対応
①インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察など)への連絡体制図の用意
■令和6年度中に取り組むべき事項※
2.医療情報システムの管理・運用
<サーバーについて>
・2-⑥と同じ内容…令和5年度中の項目
⑨バックグラウンドで動作している不要なソフトウェアおよびサービスの停止
<端末PCについて>
・2-③、2-④、2-⑥と同じ内容…令和5年度中の項目
・2-⑨と同じ内容…令和6年度中の項目
さらに医療機関と薬局には下記が追加される。
3.インシデント発生に備えた対応
②インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認
③サイバー攻撃を想定した事業継続計画(BCP)を策定または令和6年度中の策定予定
まずは対策に見落としがないか確認を
ここまで見てきたように、体制面・システム面・運用面を順に網羅していく形でチェックリストが整備されている。前述した徳島県の病院で浮き彫りなった体制面やシステム面、運用面の課題は、一般企業を含む多くの組織において潜在的なものだろう。ランサムウェアによる被害、サプライチェーンや社会に影響を与えるインシデント被害など、2020年以降、教訓となる事例が多く発生している。そうした中、セキュリティシステムを導入して安心している組織においては、人・組織、プロセスの面で見落としがないか、また、セキュリティ対策が不十分だと感じる組織は、人・組織、プロセス、システムの面で見落としがないか、チェックリストを基に、ぜひ確認していただきたい。次回は、チェックリスト内の各項目に対応するために有効なソリューションを紹介する。
※:厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト」を基に作成
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html