医療機関のサイバーセキュリティ対策なら、閉域網での作業が得意なNetSupport
公開日:2024/02/28 更新日:2024/02/28
医療機関におけるサイバーセキュリティ対策は、患者の個人情報、健康情報や医療データなど機密データを守るために重要です。医療機関が取るべきサイバーセキュリティ対策の主なものとして、以下が挙げられますが
- アクセス管理
強力なパスワードポリシー、多要素認証、最小限のアクセス権限など、医療情報へのアクセスを制御するために、ユーザー認証や権限管理を強化します - エンドポイント保護
ウイルス対策ソフトやマルウェア対策ソリューションを導入し、コンピューター、モバイルデバイスなどのエンドポイントをマルウェア感染から保護します - データ暗号化
不正アクセスを受けた場合に情報を保護するために重要で、伝送中だけではなく保存データも暗号化することが推奨されます - ネットワークセキュリティ
ファイアウォール、侵入検知システム、侵入防止システムなどを使用してネットワークを保護します。また、VPNを使用しリモートアクセスを安全に行えるようにします
従業員のセキュリティ意識向上トレーニング、災害復旧と事業継続計画などアナログな対策も重要です。これらの対策は、医療機関が直面するサイバーセキュリティの脅威に対して包括的な防御を構築するために不可欠ですが、サイバーセキュリティは継続的なプロセスであり、技術の進化とともに対策も進化させる必要があります。
以下に、医療機関が取るべきサイバーセキュリティ対策と関連情報をまとめてみましょう。
1. 厚生労働省サイバーセキュリティ対策への指針
法令と規程
医療法施行規則が改正され、医療機関におけるサイバーセキュリティ対策の強化が求められています。
厚生労働省が定める「医療情報システムの安全管理に関するガイドライン」は、医療機関が患者の健康情報を安全に管理し、プライバシーを保護するために従うべき一連の原則と実践方法を提供しています。
令和5年5月の改定(6.0版)では、クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等を整理するなど、時流に合った内容へ常にバージョンアップがされています。
連絡先と報告
上記「医療情報システムの安全管理に関するガイドライン」では、医療機関がサイバー攻撃を受けた際の連絡先の提供も行っています。医療機関は所管省庁への連絡や必要な対応を行う体制を整備する必要があります。
また、サイバー攻撃により患者の医療情報など個人情報が漏洩した場合、個人情報保護委員会への報告が必要です。
(参考)厚生労働省:医療分野のサイバーセキュリティ対策について
研修と教育
厚生労働省は、医療機関向けのセキュリティ対策研修を提供しています。医療機関の経営層や医療従事者など階層別の研修を通じてサイバーセキュリティ対策を強化できます。これらの対策を遵守することで、医療機関はサイバー攻撃から患者のデータを守り、信頼性のある医療サービスを提供できるでしょう。
2. 医療機関のサイバーセキュリティ具体的な対策
医療機関のサイバーセキュリティ対策は冒頭でご紹介していますが、「サプライチェーンリスク全体の確認」と言い換えることもできます。これは、医療機関が使用するすべてのIT製品やサービス(ソフトウェア、ハードウェア、クラウドサービスなど)を提供する供給業者やパートナー企業を含むサプライチェーン全体にわたるセキュリティリスクを評価、管理するプロセスを指します。
サプライチェーンリスク全体の確認
このアプローチは、医療機関自身のセキュリティ対策だけでなく、外部から提供される製品やサービスがもたらすリスクにも目を向けることを意味します。具体的にどのようなものなのかご紹介します。
- リスク評価
供給業者やパートナー企業が遵守すべきセキュリティ基準やポリシーの設定、及びこれらの基準が守られているかの評価 - 第三者の監査
定期的なセキュリティ監査や評価を通じて、サプライチェーン内の企業がセキュリティ基準を満たしているかの確認 - 脆弱性の管理
サプライチェーン内の製品やサービスに見つかるセキュリティ脆弱性に対する迅速な対応計画の策定 - 契約管理
サプライチェーンのパートナーとの契約にセキュリティ要件を含め、これらが遵守されることを保証 - インシデント対応
サプライチェーン内でセキュリティインシデントが発生した場合の共同対応計画の策定と実行
サプライチェーンを通じたリスクは、一つの脆弱なリンクによって全体のセキュリティが損なわれる可能性があります。そのため、医療機関では、サプライチェーン全体を通じたリスク管理を通じて、患者情報の安全性を高め、サイバー攻撃による影響を最小限に抑える必要があります。
3. 医療機関のサイバーセキュリティ対策にお勧めのツール
医療機関のサイバーセキュリティ対策においては、患者データの保護、システムの安定稼働、サイバー脅威からの防御が最優先事項です。以下に、医療機関に推奨されるいくつかのサイバーセキュリティツールとその機能を紹介します。
エンドポイント保護プラットフォーム | マルウェア対策、ランサムウェア保護、脅威の検出と応答 |
---|---|
ネットワークトラフィック分析 | ネットワーク内の異常なトラフィックや行動を検出し、サイバー攻撃を早期に警告 |
ファイアウォールと侵入防止システム | 不正アクセスの防止、ネットワークトラフィックの監視と管理 |
アンチウイルスソフトウェア | ウイルス、スパイウェア、その他のマルウェアからの保護 |
暗号化ツール | データの暗号化による機密情報の保護 |
マルチファクタ認証 | パスワード以外にもう一つ以上の認証方法を要求し、セキュリティを強化 |
セキュリティ情報およびイベント管理 | ログデータの収集と分析、セキュリティインシデントの迅速な検出と対応 |
パッチ管理ソフトウェア | ソフトウェアの脆弱性を修正するための更新プログラムの管理と適用 |
クラウドセキュリティソリューション | クラウド環境内のデータ保護、アクセス管理、脅威の監視 |
脆弱性スキャナー | システムやアプリケーションの脆弱性を定期的にスキャンし、修正のための報告を提供 |
閉域網での接続なら「NetSupport」
NetSupport Managerは、離れた場所にある多数のパソコンやサーバーを管理者のパソコンで遠隔操作ができる、リモートコントロールに適したソフトウェアです。
オンプレミス型ソフトウェアのため、インターネットに接続しない環境(閉域網・クローズドネットワーク)でも利用できます。外部から直接アクセスできない閉域網は、インターネットを経由したサイバー攻撃を防ぐことができるため、医療機関や金融機関、製造工場など高いセキュリティレベルを必要とする業種で数多くの導入実績があります。
その他、安全な接続を実現できる機能が豊富です。
- リモート端末との接続は、セキュリティキー、PINコードの認証やIPアドレスで接続制限をかけることができます
- ゲートウェイサーバーを介して接続する場合、OTP(One-time Password)やDUOプッシュを利用して二要素認証が使用できます
- リモート接続セッション中の操作を録画でき、再生もできます
- ファイル転送やリモートプリントなどのリモートコントロール機能は、個々にアクセス制御の設定ができ、不正アクセスによる情報漏洩のリスクを低減できます
- リモートコントロール時の通信は、56bit(DES)、64bit(Blowfish)、128bit(Twofish)、256bit(AES)の暗号化設定ができます
遠隔操作(リモートコントロール)ソフトウェアNetSupport Manager 製品紹介ページ
包括的な対策が重要
適したツールを組み合わせて使用することで、医療機関は包括的なサイバーセキュリティ対策を構築できます。それぞれのツールが特定のセキュリティニーズに対応しており、相互に補完しながらより強固な防御体制を築くことが可能です。選択する際には、医療機関の規模、インフラ、特定のリスクプロファイルに最適なソリューションを選定することが重要です。
製品版と同じ機能を30日間自由にお試しいただける「無料体験版」を公開しています。
お気軽にダウンロードしていただき、設定や操作方法をご確認ください。