テキスト全文
医療機関向けサイバーセキュリティ対策の概要
#1. サイバーセキュリティ対策チェックリスト 令和6年度版 医療機関における t0nari@ukawaiin.com
#2. 伊勢原で消化器内科やってます
エコーと内視鏡は得意です
プログラミングもできます
ダイナミクスのお手伝いもしてます
第20回ダイナミクス全国大会in横浜をよろしくおねがいします t0nari@ukawaiin.com 鵜川医院院長
#3. 医療機関の責任者・管理者
医療情報システム安全責任者に任命されそうな人
厚生労働省のサイバーセキュリティガイドライン
#5. 5 医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月) 第6.0版の背景
2023年4月からオンライン資格確認が原則義務化されており、今後は、ネットワーク関連のセキュリティ対策がより多くの医療機関に共通して求められることになる。そのため、医療機関はガイドラインの内容を理解し、医療情報システムの安全管理を強化するために構成を見直す必要がある。サイバー攻撃の多様化巧妙化に対応できる安全管理措置を中心に内容の見直しを行ったもの。
主な改訂ポイント
管理を外部委託している場合の[責任分界]の考え方
[ゼロトラスト思考]の理解
非常時の対応方法
本人確認(マイナンバー活用)の取り入れ:本人確認に、という文言でわずかに登場
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 医療情報システムの安全管理に関するガイドライン 第6.0版
#6. 6 医療法施行規則改正により医療機関等へ立ち入り検査が行われている。
病院のみならず小さな医療機関でも行われているとのこと。
立ち入り検査では、ガイドラインの内容に即し、令和5年度内、令和6年度内に行うべき対策(チェックリスト)が行われているかどうかが確認される。
したがってこれらを把握してく必要がある。
このスライドの目的は、医療機関におけるサイバーセキュリティ対策チェックリストマニュアル(医療機関・事業者向け)の理解である。 サイバーセキュリティ対策チェックリストの理解
医療機関内ネットワークの理解と攻撃対策
#7. 7 医療機関内のネットワークを理解する NTTフレッツ網を利用した通信を想定して解説
院内のネットワークがどうつながっているか確認する オンライン資格確認はIPv6で通信(図では赤い線)
光ケーブルの終端装置(ONU)は院内のここにあるよ、という事は知っておくとよい。ONUとインターネット通信用のルーターが一体になっている事もある。
インターネット回線も同じONUを通るが、別のレイヤーである(図では青い線)
インターネット用のルーター(図では左の”Router”)がどこにあるかを確認しておくとよい。
オンライン資格確認用ルーター(図では右の”Router”)を1つ追加してある事が多い。ヤマハRTX830、あるいはシスコ製品などが使われる。
オンライン資格確認のパソコンは右のRouter経由で厚労省のOns ServerにIPv6でアクセスしている。
すべてのPCがハブで全部つながっているように見えてもルーターの設定で信号は振り分けられている。
#8. 8 攻撃の方法と対策
1. 企業内(院内):職員による持ち出しや破壊が一番多いとされています。ヒューマンエラーなので完全の予防は出来ませんがガイドラインでも最重要として対策が示されています。
1. 攻撃しにくい設定(ログイン作業、アクセス制限)
2. 問題が起きた時に早く把握するためアクセスログの管理をする
3. バックアップを安全な場所に(クラウド型で一番弱い部分であり対策は必要)
4. 接続元制限をする
2. マルウェア:最新ファームを適用する
3. フィッシング:運用が大切
4. ソーシャルエンジニアリング:運用が大切 攻撃を受けやすいところはどこか
インシデント発生時の対応と連絡体制
#9. 9 インシデント発生時の組織内、外部への連絡体制図を作成
おかしいかな?という時の相談 →一般社団法人ソフトウェア協会
インシデントの報告 →厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室
脅迫、不当な書き込みなどを受けた時 →サイバー警察局で問い合わせ先を探して相談
復旧する(診療を止めない!)
オンプレミス型:バックアップによる復旧訓練
クラウド型:復旧方法につき十分な訓練を行う 攻撃を受ける前、受けた時、受けた後
#10. 10 院内に医療情報システム安全責任者を設置する
サーバー、端末PC、ネットワーク機器の[管理台帳]を作る
リモートメンテナンスをしてもらっている場合、管理事業者から機器の説明を受ける
管理事業者に医療情報セキュリティ開示書(MDS/SDS)を提出あるいは準備してもらう
利用者ごとにアクセス利用権限を設定する
退職者や利用していないアカウントを削除する
アクセスログを管理している
ネットワーク機器には最新ファームを適用する
ネットワーク機器には接続元制限を実施している
インシデント発生時における組織内と外部関係機関への連絡体制図を作る 医療機関におけるサイバーセキュリティ対策チェックリスト(R5)
令和6年度の達成ポイントと責任者の役割
#11. 11 令和6年度中に目指すべき達成ポイント
サーバーについてセキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
サーバーについてバックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
端末PCについて、利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
端末PCについて、退職者や使用していないアカウント等、不要なアカウントを削除している。
端末PCについて、セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
端末PCについて、バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。
サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定である。 医療機関におけるサイバーセキュリティ対策チェックリスト(R6)
#12. 医療情報システム安全責任者を決めよう
責任者はネットワークを把握しておこう
サイバーセキュリティ対策チェックリストに沿って準備しよう
用意すべき文書がいくつかあります
定期的に障害対策訓練をしましょう
質問と診療継続のためのインシデント対応
#14. インシデント発生時に診療を継続するために必要な情報を提供し、データやシステムのバックアップの実施と復旧手順を明確にする 診療継続のためのインシデント対応マニュアル
