～医療機関等におけるサイバーセキュリティ対策の取組みについて（周知依頼）（8／1）《厚生労働省》～

医療機関などをターゲットにしたサイバー攻撃が後を絶たず、その脅威が高まっている状況を踏まえ、厚生労働省は「サイバー攻撃リスク低減のための最低限の措置」をまとめ、病院団体に周知した。パスワードを強固なものに変更し、使い回しをしないよう呼び掛けている(資料2P参照)。

事務連絡では、VPN（仮想専用線）装置などのIDやパスワードの漏えいはシステムへの侵入に直結し、医療機関などにとって重大なリスクになると指摘。実際に攻撃を受けた医療機関では「パスワードが容易に推測できる」「4桁と短かい」といったケースが確認されていることから、被害を防止するためには「強固なID・パスワード設定の徹底が必要」と強調している。

また、複数の機器や外部サービスで同じパスワードを設定しないことも重要だとしたほか、パスワードの使い回しは漏えいリスクを高めて一度の漏えいによって被害範囲が拡大する可能性があるため「非常に危険」だとしている。

厚労省は危険なIDやパスワードとして、▽工場出荷時の設定▽「12345678」といった単純な数字の羅列▽「i234567＆9」など単純な文字の置き換え▽「qwerty」や「7410」などキーボードの配列▽予測可能なものや施設の名称、代表者名－を例示している。

一方、強固なパスワードとして、▽13桁以上▽英数字や大文字・小文字、記号の混在▽ランダムな文字列－といった複雑で長く、推測することが困難なものを推奨している。

厚労省はまた、医療機関などのネットワークについて通信網を正確に把握し、適切に対策が取られているか確認する必要があると強調している。ネットワークが閉域網と認識されている場合でも、医療機関などが把握できていないVPN装置などの外部接続点が設置されているケースがあるため、関係する事業者と協力してネットワーク接続点を確認し、アクセス制御が適切に行われているかを確認するよう促している。

さらに、サイバー攻撃の被害を受けた医療機関ではネットワーク機器のバージョンアップやパッチ適用、ファームウェアのアップデートが適切に行われていない事例が多く確認されていると指摘した。また、更新作業を行うまでの間にサイバー攻撃の標的となる可能性があり、対象の機器に深刻な脆弱性がある場合にはシステムへの侵入などに悪用される恐れがあると説明。そのため、脆弱性情報の確認や更新が適切な頻度で行われているか、事業者と連携して改めてチェックするよう促している(資料3P参照)。

（資料公表日 2024-08-01／MC plus Daily）

資料1：医療機関等におけるサイバーセキュリティ対策の取組みについて（周知依頼）

（提供 / 日本経営）

※本ニュースは日本経営が提供するMedidata Pro.について、メディコムパーク編集部が見出し等を一部編集・加工したものです。