厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ

　厚生労働省は11月10日、医療機関等におけるサイバーセキュリティ対策の強化について注意喚起を発表した。タイトルタグによると参事官井上氏と中澤氏が文書の修正を行っている。

　大阪急性期・総合医療センターでのランサムウェアによるサイバー攻撃では、医療機関自身のシステムではなく院外の調理を委託する事業者のシステムを経由した可能性が高いことを受け、医療機関自身のシステムにおけるサイバーセキュリティ対策に加え、サプ
ライチェーンとの接続状況や、取引先システムのサイバーセキュリティ対策等をも俯瞰しつつ、必要な対策を講じる必要性があるとしている。

　同省では、下記の対策が適切に講じられているか確認し、サイバー攻撃を受けた場合にも事業継続計画等により地域住民の医療提供体制に支障が出ないよう注意喚起を行っている。

1.サプライチェーンリスク全体の確認
　関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点をすべて管理下におき、脆弱性対策を実施

2.リスク低減のための措置
・パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
・IoT 機器を含む情報資産の保有状況を把握する。
・VPN装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性にはセキュリティパッチを迅速に適用する。
・悪用が報告されている脆弱性は開発元が推奨する対策が全て行われていることを確認する。
・VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施する。
・不振なメールの添付ファイルの開封やURLの不用意なクリックしない。

3.インシデントの早期検知
・サーバ等における各種ログの確認。
・通信の監視・分析やアクセスコントロールの再点検。

4.インシデント発生時の適切な対処・回復
・事業継続計画の策定。
・データ消失等に備えたデータのバックアップ及び復旧手順の確認。
・インシデントを認知した際の対処手順の確認と外部関係機関への連絡体制や組織内連絡体制等の準備。
・インシデント発生やそのおそれがある場合は厚生労働省等の関係機関へ連絡。

5.金銭の支払いに対する対応
・金銭を支払っても、不正に抜き取られたデータの公開や販売の取り止めや暗号化されたデータの復元の保証がない。
・一度、金銭を支払うと、再度、別の攻撃を受け、支払い要求を受ける可能性が増す。