2024年9月15日号
令和6年5月に岡山県の病院で発生したサイバー攻撃事案において,電子カルテの閲覧・利用ができなくなる等により,一部診療に影響が生じるとともに,個人情報の流出も確認されるなど,医療機関等を対象とするサイバー攻撃が後を絶たず,その脅威は日増しに高まっています。
こうした状況を踏まえ,厚生労働省では,「医療機関におけるサイバーセキュリティ対策チェックリスト」の中でも特に迅速に対応いただきたい事項を【サイバー攻撃リスク低減のための最低限の措置】としてとりまとめ,各医療機関におけるサイバーセキュリティ対策の取組みを呼びかけています。
なお,日医サイバーセキュリティ支援制度では,同チェックリストに対応するため,「日本医師会セキュリティガイドライン相談窓口」が設置されていますので,本件やチェックリストにご対応いただく中で,不明点等がございましたら,是非ご活用ください。
◆日本医師会セキュリティガイドライン相談窓口
TEL:0120-339-199 平日午前9時~午後6時(土日,祝日,年末年始は休業)
※詳細は日医メンバーズルーム内専用ページをご確認ください。
https://www.med.or.jp/japanese/members/info/cyber_shien.html
【サイバー攻撃リスク低減のための最低限の措置】
○パスワードを強固なものに変更し,使い回しをしない
VPN装置等のID・パスワードの漏洩は,システムへの侵入に直結し,医療機関等にとって重大なリスクとなります。実際にこれまで攻撃を受けた医療機関では,パスワードが容易に推測可能なものであったり,4桁と短かった例が確認されています。被害を未然に防ぐためには,強固なID・パスワード設定の徹底が必要です。
また,複数の機器や外部サービス等で,同一のパスワードを設定しないことも重要です。パスワードの使い回しは漏えいリスクを高め,一度の漏えいにより被害範囲が拡大しうるため,非常に危険です。
<危険なID/パスワードの例>
- Administrator(工場出荷時の設定等)
- 12345678(単純な羅列)
- pa$$w0rd,i234567&9(単純な置換,流出済)
- qwerty,7410(キーボードの配列)
- KoroHospital,KoroTaro(予測可能,施設の名称,代表者名など)
<強固なパスワードとは>
長く,複雑で,推測困難なものが推奨されます。
- 13桁以上(桁数が多いほど,機械的な総当たりでの解析が困難)
- 英数字,大文字・小文字,記号が混在(組み合わせが多いほど解析が困難)
- ランダムな文字列(単語等の組み合わせによる解析を回避)
○IoT機器を含む情報資産の通信制御を確認する
医療機関等のネットワークについて,通信網を正確に把握し,適切に対策が講じられているか,確認が必要です。
ネットワークが閉域網と認識されている場合においても,医療機関等が把握できていないVPN装置等の外部接続点が設置されている場合があるため,関係事業者と協力してネットワーク接続点を確認し,アクセス制御等が適切に実施されているかを確認してください。
また,各種システムや通信制御を行っている機器のログが適切に保存され,運用されていることを確認してください。
○ネットワーク機器の脆弱性に,ファームウェア等の更新を迅速に適用する
サイバー攻撃の被害を受けた医療機関では,ネットワーク機器のバージョンアップやパッチ適用,ファームウェアアップデートが適切に行われていない事例が多く確認されています。更新作業を実施するまでの間,サイバー攻撃の標的となる可能性があり,対象機器に深刻な脆弱性がある場合には,システムへの侵入等に悪用されるおそれがあります。
適切な頻度で脆弱性情報の確認及び更新(あるいはメーカーより示されているリスク低減措置)が行われているか,事業者と連携して今一度確認をお願いします。
併せて,セキュリティ対策ソフトの稼働状況(最新の定義ファイルが適用されるようになっているか等)についても確認してください。
《参考》
■医療機関に対するサイバーセキュリティ対策リーフレット(令和5年10月)
URL:https://www.mhlw.go.jp/content/10808000/001180153.pdf
■医療機関におけるサイバーセキュリティ対策チェックリスト(令和6年5月)
URL:https://www.mhlw.go.jp/content/10808000/001253950.pdf
■医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)
URL:https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html