セキュリティの基本を徹底し、
脅威に備える

前回、厚生労働省が2023年6月に公開した「医療機関におけるサイバーセキュリティ対策チェックリスト」の構成と有益性について説明した。今回は、そのチェックリストの内容について掘り下げ、推奨対策例を紹介する。「医療機関におけるサイバーセキュリティ対策チェックリスト」と照らし合わせながら読んでほしい。

各チェック項目への推奨対策例

○令和5年度中の項目
■1 体制構築
(1)情報システム担当者任せではなく、責任が取れる役職者の設置が重要だ。
■2 医療情報システムの管理・運用
◇医療情報システム全般
(1)資産管理は、固定資産やライセンス、セキュリティを管理する上で重要だが、台帳管理では限界があるだろう。保有資産と稼働状況の正確な管理には、資産管理ツールの導入が有効だ。またその運用ルールを決め、組織全体で共有してほしい。
(2)ランサムウェアはVPNやリモートデスクトップの脆弱性を狙って侵入してくることが多いため、侵入経路となり得るIT資産の把握は重要だ。ASM※1ツールを利用すれば外部公開IPアドレスと脆弱性の有無を可視化できる。
(3)医療情報セキュリティ開示書内のチェックリストには、認証、サイバー攻撃に対する非常時の対応、外部ネットワークとの情報のやりとりなど、重要なことが網羅されている。これをチェックして提出する必要がある。
◇サーバー
(4)利便性のために共有IDを利用している場合、内部不正やサイバー攻撃が起きたとき、誰がどのような権限でアクセスしたかを特定できない。個人にIDを割り当て、都度ログインする仕組みが有効だ。生体認証を用いれば利便性も向上する。
(5)不要なIDが残っていると、悪用される恐れがある。アカウント運用プロセスを見直し、徹底してほしい。IGA※2を用いれば運用をシステム化し、セキュリティも強化できる。
(6)重要なシステムには、アクセスログ取得ツールを導入してほしい。内部不正やサイバー攻撃の被害に遭っても、ログがなければ調査できない。さらに重要なシステムは特権ID管理ツールを導入し、都度パスワードを払い出し、操作ログを記録、必要に応じてアラートを発する仕組みにすることが望ましい。
◇ネットワーク機器
(7)パッチ適用ルール(担当者、タイミングなど)を明確にすべきだ。外部にIPアドレスを公開している機器は、パッチ適用自動化も検討したい。適用漏れの有無は、ASMで確認可能だ。
(8)ネットワーク機器の設定で制限できる。
■3 インシデント発生に備えた対応
(1)サイバー攻撃を想定したBCP整備の一環として連絡体制図を作成してほしい。作成後の定期的なメンテナンスも必要だ。作成した体制図を基にサイバー攻撃を想定した訓練を実施すると、あらかじめ弱点を見つけられる。

※上記参考項目(令和6年度中の項目)
■2 医療情報システムの管理・運用
◇サーバー
(7)前述の通り。
(9)起動するソフトウェアやサービスを固定できる場合、ホワイトリスト型プログラム起動制御の仕組みを導入すると安心だ。マルウェアの起動もブロックできる。
◇端末PC
(4)、(5)、(7)、(9)前述の通り。
■3 インシデント発生に備えた対応
(2)バックアップに関しては下記3点が有効だ。
a バックアップデータは三つ以上
最低限、マスターデータと二つのバックアップデータを保持する。ランサムウェアなどによってマスターデータと一つのバックアップデータが被害に遭っても、もう一つのデータから復旧できる。
b 二つ以上の機器を利用
全てのバックアップ取得先が一つのサーバーの場合、そのサーバーが破損すると復旧できなくなる。そのため、別の機器やクラウドに分散させておく。
c 一つは遠隔地で保管
バックアップの取得先が1拠点のみの場合、そこが震災に遭うと復旧できなくなるため、遠隔地やクラウドにも保管する。

 復旧については、手順書を準備し、それに沿って行動できるかを訓練で確認しておくことが重要だ。障害発生時に時間を要するのは、どのバックアップデータから復旧するかの確認だ。災害と違い、潜伏期間があるランサムウェア含むマルウェアの場合は、活動開始時期・影響範囲を確認する必要がある。その時期や範囲を把握できるのがEDR※3だ。そして、EDRの運用支援を行うMDR※4では、暗号化などの影響を受けたファイルを特定できるものもある。

(3)サイバー攻撃を想定したBCPは災害やパンデミックを想定したものとは性質が異なるため、別に策定してほしい(図1)。

図1:災害・パンデミックを想定したBCPと、サイバー攻撃を想定したBCPの違い

事業者向けの推奨対策例

 医療機関用と異なる部分のみ紹介する。なお、薬局向けのものは、医療機関向けと同じである。

○令和5年度中の項目
■1 体制構築
(1)システム導入後の保守・運用にも管理責任者を設置し、定期的にメンテナンスを行ってほしい。

セキュリティの基本の徹底を

 ここまで対策例を紹介したが、どれもセキュリティの基本だ。チェックリストの内容はさまざまなセキュリティ脅威に有効なため、参考にして実施していただきたい。

※1 Attack Surface Management:サイバー攻撃の対象となり得る資産を把握し、その脆弱性の管理を行う技術。
※2 Identity Governance and Administration:ID管理とIDガバナンス(付与されている権限が妥当かといったID管理を適切に行うためのチェック機能)を統合した機能。
※3 Endpoint Detection and Response:エンドポイントのセキュリティ脅威を検知し、対応を支援。
※4 Managed Detection and Response:EDR の運用として、インシデント対応などを支援するサービス。
※5 General Data Protection Regulation:個人データの保護やその取り扱いについて定められたEU各国に適用される法令。