目次
どこか一つでも穴があれば、そこが狙われる
セキュリティ対策を考える上で重要なのが「セキュリティ桶(おけ)の理論」です。桶に入った水の量は、一番短い板の高さで決まります。同様に、どんなに高価なファイアウォールを入れていても、職員の端末管理が甘かったり、バックアップが不完全だったりすれば、攻撃者はその「一番低い板(脆弱性)」を見つけ出し、そこから侵入します。
理想はすべての板を高くする(網羅的な対策を行う)ことですが、現実には予算も人的リソースも有限です。だからこそ、ガイドラインを読み解き、リスクの大きさと対策の実行しやすさを天秤にかけた「優先順位付け」が不可欠になります。
ガイドラインから読み解く「3つの優先事項」
厚労省のガイドラインやチェックリストでは、対策の緊急度に応じて優先度が示されています。特に「直ちに対策が必要」とされる項目から、注力すべきポイントを整理します。
1. 「何がどこにあるか」の可視化(資産管理・構成図)
高優先度に位置づけられるのが、管理体制の構築と資産管理です。特に重要なのが「ネットワーク構成図」の整備です。院内のネットワークにどのような機器が接続されているか、リモートメンテナンスで外部業者がどの経路で入ってくるか。これらをリアルタイムに把握できていなければ、守るべき対象すら分からない状態と言えます。手動での台帳管理には限界があるため、ネットワーク自体が接続機器を自動検出し、常に最新の構成図を描画できるような仕組みが求められます。
2. 「最後の砦」バックアップの強化
万が一ランサムウェアに感染した際、診療を早期再開できるかを左右するのがバックアップです。こちらも高優先度とされる項目です。従来のバックアップでは、感染時にバックアップデータごと暗号化されてしまうケースが多発しています。ネットワークから論理的に切り離された「オフライン保管」や、書き換え不可能な「イミュータブル(不変)設定」など、攻撃を受けても絶対に復旧できる環境(サイバーBCP)の整備が急務です。
3. 「入り口を守る」認証の強化
2027年度までの実施目標に含まれますが、VPN機器からの侵入被害が多い現状、早めの対策が推奨されるのが「二要素認証」です。IDとパスワードだけの認証はもはや限界です。特に外部からの接続や特権IDの利用においては、多要素認証(MFA)を導入し、なりすましを防ぐことが必須となります。
「止まらない医療」を支えるネットワークへ
セキュリティ対策は、単に防御壁を作ることだけではありません。医療の現場において最も重要なのは「診療を止めない」ことです。 セキュリティとネットワークは切っても切り離せない関係にあります。安定して稼働し続ける「止まらないネットワーク」という土台があり、その上で可視化や防御といったセキュリティ機能が働くことで、初めて安全な医療情報システムが実現します。丸紅I-DIGIOグループでは、堅牢なネットワーク基盤の構築から、最新のガイドラインに準拠したセキュリティソリューションまで、医療機関の皆様をトータルで支援しています。
自院の規模に合った対策は?
とはいえ、300床以上の中核医療を支える病院と、地域密着の単科病院では、割ける予算も体制も異なります。「ベンダー依存型」になりがちな病院、「兼任管理者」の負担が大きい病院など、病院の「事情」に合わせた対策モデルが必要です。
今回、厚労省ガイドラインに対応した具体的な対策優先順位と、病院の規模別に推奨されるソリューションをまとめた詳細資料をご用意しました。 「具体的にどの製品を使えば、チェックリストのこの項目をクリアできるのか」 「他院はどのような組み合わせで対策しているのか」 といった疑問への答えを、分かりやすく解説しています。
ぜひ下記よりダウンロードいただき、貴院のセキュリティ対策の棚卸しにお役立てください。
資料ダウンロード
本記事に関連するソリューションの資料をダウンロードいただけます。
Effortless Networkingを実現するExtreme Networks
実践的なセキュリティプラットフォーム
