令和6年8月、厚生労働省のホームページにある「医療分野のサイバーセキュリティ対策につて」のページに「医療機関等におけるサイバーセキュリティ対策の取組み について(周知依頼)」が掲載されている。文字通りサイバーセキュリティ対策への対応を促すもので、以下の3つの柱で構成されている。
〇パスワードを強固なものに変更し、使い回しをしない
〇IoT機器を含む情報資産の通信制御を確認する
〇ネットワーク機器の脆弱性に、ファームウェア等の更新を迅速に適用する
事務連絡に記載されていること以外でも注意しておきたいことを確認しておきたい。
・パスワードについて
定期的な変更をすることが必要。また、退職者のID/パスワードが残っていないかをこの
際に確認をしておきたい。
・IoT機器を含む情報資産の管理について
IoT機器とはインターネットに接続できるものをいう。リモートで操作可能なものなどだ。
プリンターなども該当する。今回の事務連絡では、アクセス制御や通信ログの管理・運用
の確認を促している。なお、情報資産についていえば、個別の機器等のID/パスワードは
もちろんのこと、ライセンス管理も視点も改めて確認をしておきたい。サブスクリプショ
ンサービスの期限は問題がないか、法人による契約・利用ではなく、職員が個人で契約し
ているものや、私物ではないかなど。院内には多くの情報誌資産があるので、モノそのも
のだけではなく、OSやライセンス、次の更新時期などについても台帳を整理しておきた
い。
・迅速なファームウェア等の更新について
常に最新の情報にアップデートすることは大事だが注意が必要なこともある。本年7月16
日、世界で大規模な通信障害が起きたことは記憶に新しい。その原因として、アップデー
トプログラム自体に問題があったことがわかっている。
参考:
IoT機器を含む最近のサービスは、クラウドサービスが多く、自動的にアップデートされる
ことがよくある。最新の情報は確かに大事だが、メーカーやベンダーへの確認がまずが大
事だ。例えば、普段利用しているサービスが、OSなどのアップデートに伴い利用できなく
なることもある。既存のサービスが、まだ新しいOSに対応できていないから起きることも
ある。更新情報があれば、まずはメーカー等のホームページを確認すること、直接問い合
わせて確認した後で対応することが大事だろう。
なお、個人所有のパソコンなどについてのセキュリティ対策も確認する機会にしておきたい。勤務先のネットワークにつながないことはもちろんだが、コンピュータウィルス対策も確認を。個人所有のパソコンでのコンピュータウィルス対策については様々なサービスが提供されているが、Windowsであればあらかじめインストールされている「Windows セキュリティ(Microsoft Defender)」のみでも十分だと個人的に考えている(私個人の感想ですので、参考程度にしてください)。コンピュータウィルス対策ソフトについては、第三者評価されたものが公表されている。
「Windows セキュリティ(Microsoft Defender)」は実は高評価だ。ただし、他のコンピュータウィルス対策ソフトが同時にインストールされていると、自動的にストップしてしまうので「Windows (Microsoft Defender)」を利用する場合は、同時にインストールされているものを削除する必要がある(Microsoft Defenderの設定については参照先を参考に)。あくまでも個人所有のパソコンにおける対応であって、勤務先・法人利用のものについては、業務用アプリケーションの関係もあり、「Windows セキュリティ(Microsoft Defender)」では対応しきれないので、ご注意いただきたい。
