医療
医療機関の情報システムの特徴とセキュリティリスク
病院などの医療機関における情報システムの活用は、レセプトの効率化、カルテ情報の電子化などによる業務効率化、情報管理の強化、さらには医療機関の間の情報連携など、さまざまなメリットがあります。一方で、患者の既往歴をはじめとするセンシティブ情報を扱う都合上、その漏洩による影響が大きく、セキュリティ対策が重要であるという特徴があります。
これにより厚生労働省は、「医療情報システムの安全管理に関するガイドライン」(以下、「ガイドライン」)を制定し、医療情報システムの安全管理の標準化と普及に努めてきました。
インシデント発生にて明らかになった対策の盲点
昨今、医療機関がランサムウェアに感染し、人質として患者情報が暗号化されたり、システムが破壊されるなどして、患者受け入れを停止せざるを得ないという状況が発生しています。
多くのケースで、システムを保守するベンダーが外部からアクセスするために使用していたVPN機器の脆弱性を突かれ、侵入経路となっていました。
それだけではなく、各システムや端末にアクセスするためのパスワードの複雑性が不足していたり、感染状況を把握するためのログをモニタリングする仕組みなども未整備のため、感染による影響が拡大し、復旧に相当の時間を要するケースも多く見られます。
これを受けて厚生労働省は、2022年にガイドラインを大幅に改定し、講じるべき対策を大きく見直しました。
見直されたガイドラインには、医療機関及び医療機関にITサービスを提供する事業者が講じるべき対策が定義されており、各対策の実施状況を確認するためのチェックリストが用意されています。
医療情報システム セキュリティガイドラインに対する弊社ソリューションの貢献
弊社ソリューションは、医療機関及び医療機関に対してITサービスを提供する事業者に対して、ガイドラインで課せられたさまざまな要件を満たし、医療機関の情報システムをサイバー攻撃などのセキュリティ脅威から守ります。
具体的な要件 | 対応製品 | 対応内容 |
---|---|---|
医療情報システムを構成するサーバー等のユーザーアクセス権の適切な設定 | ESS AdminONE | サーバーのアクセスを普段はすべて拒否し、承認された期間のみ必要な範囲に対してのみアクセス権を付与する仕組みが可能 |
退職者や使用していないアカウント等、不要なアカウントの削除 | ESS AdminONE | 定期的なアカウント棚卸の実行により、不要なアカウントの作成・削除漏れなどのアカウント管理不備を発見 |
アクセスログの取得と保全 | ESS REC | サーバー等に対するオペレーション操作の記録 |
ESS AdminONE | サーバーへのアクセログの取得・不正アクセスの検出 | |
サーバー等のアクセス元制限 | ESS AdminONE | リモートからのアクセス元をIPアドレスの範囲で限定 |
また、ベンダーなどによるリモートアクセスについては、ESS AdminONEサーバーをゲートウェイのような形で配置することで、接続元と内部ネットワークの透過的アクセスを防止し、ゲートウェイを経由しないと内部のサーバーなどへアクセスできないように制御します。これにより、VPN脆弱性などを突いた外部からの侵入をゲートウェイで阻むことが可能になります。
ESS AdminONEサーバーは専用のゲートウェイとして多要素認証をはじめ、さまざまな対策により外部からのアクセスの防波堤としての役割を担う他、万が一攻撃者によって乗っ取られたとしても、その先の内部ネットワークの探索が困難となるような対策が講じられています。
お問い合わせ