医療機関等への厚労省からの事務連絡

　依然として、医療機関へのサイバー攻撃の脅威は増しています。世界的にも医療機関を狙った攻撃が激増しているそうです。

　そんな中、2024年8月1日に厚労省からの事務連絡として「医療機関等におけるサイバーセキュリティ対策の取組について」を示し、医療現場等への対応を求めています。

　2021年には徳島県の病院、2022年には大阪急性期病院、今年に入っても岡山の精神病院の電子カルテシステムを狙ったランサムウェア攻撃等、被害は留まるところを知りません。サイバー攻撃によって長期間診療停止に追い込まれることになり、場合によっては医療機関の閉鎖にも繋がりかねないでしょう。

　厚労省は以下に示す3つの取組を順次進めています。

1. 「医療情報システムの安全管理に関するガイドライン」の改訂
2. 都道府県による立入検査においての「サイバーセキュリティ対策」の確認
3. 医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたチェックリストの提示

　8月1日の事務連絡では「特に迅速に対応すべき、サイバー攻撃リスク低減のための最低限の措置」を以下のように示しています。

　VPN装置等のID・パスワードの漏洩は、システムへの侵入に直結し、医療機関等にとって重大なリスクとなります。実際にこれまで攻撃を受けた医療機関では、パスワードが容易に推測可能なものであったり、4桁と短かった例が確認されています。被害を未然に防ぐためには、強固なID・パスワード設定の徹底が必要です。

　また、複数の機器や外部サービス等で、同一のパスワードを設定しないことも重要です。パスワードの使い回しは漏えいリスクを高め、一度の漏えいにより被害範囲が拡大しうるため、非常に危険です。（厚労省HPから）

　医療機関等のネットワークについて、通信網を正確に把握し、適切に対策が講じられているか、確認が必要です。 ネットワークが閉域網と認識されている場合においても、医療機関等が把握できていないVPN装置等の外部接続点が設置されている場合があるため、関係事業者と協力してネットワーク接続点を確認し、アクセス制御等が適切に実施されているかを確認してください。また、各種システムや通信制御を行っている機器のログが適切に保存され、運用されていることを確認してください。（厚労省HPから）

　サイバー攻撃の被害を受けた医療機関では、ネットワーク機器のバージョンアップやパッチ適用、ファームウェアアップデートが適切に行われていない事例が多く確認されています。更新作業を実施するまでの間、サイバー攻撃の標的となる可能性があり、対象機器に深刻な脆弱性がある場合には、システムへの侵入等に悪用されるおそれがあります。適切な頻度で脆弱性情報の確認及び更新（あるいはメーカより示されているリスク低減措置）が行われているか、事業者と連携して今一度確認をお願いします。併せて、セキュリティ対策ソフトの稼働状況（最新の定義ファイルが適用されるようになっているか等）についても確認してください。（厚労省HPから）

　これらの対応はあくまで「最低限の措置」です。ここまでの対応はスタートラインと言えます。まずはできることからサイバーセキュリティ対策を進めてまいりましょう。

（参考・過去ブログ）医療機関のサイバーセキュリティについて