よむ、つかう、まなぶ。
【資料2-1】令和7年度版医療機関等におけるサイバーセキュリティ対策チェックリストについて(案) (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_53554.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第24回 3/13)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
パスワードの適切な管理・設定について
背景
実際にサイバー攻撃の被害を受けた過去の事例においても、ネットワーク機器やサーバのパスワード
が容易に推測可能なものや文字列が短かった例が繰り返し確認されている。
また、昨年発生したサイバー攻撃でもVPN装置をはじめとした医療機関内のシステム、ネットワーク
機器、サーバ等のパスワードが共通(使い回し)にされていたなど、不適切なパスワードの設定・管
理が被害拡大の要因であった事が判明した。
方針
•
パスワードを強固なものに変更し、使い回しをしないよう適切な管理・設定を求める。
•
事業者確認用の項目においては、事業者側の管理のみではなく、医療機関に導入したサーバ、
ネットワーク機器についても確認する。
〈強固なパスワードとは〉
‒
長く、複雑で、推測困難
‒
13 桁以上(桁数が多いほど、機械的な総当たりでの解析が困難)
‒
英数字、大文字・小文字、記号が混在(組み合わせが多いほど解析が困難)
‒
ランダムな文字列(単語等の組み合わせによる解析を回避)
‒
複数の機器や外部サービス等で、同一のパスワードを設定しない
〈危険なパスワード使い回し例〉
‒
施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
‒
事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
‒
出荷時のパスワードから変更を行っていない
4
背景
実際にサイバー攻撃の被害を受けた過去の事例においても、ネットワーク機器やサーバのパスワード
が容易に推測可能なものや文字列が短かった例が繰り返し確認されている。
また、昨年発生したサイバー攻撃でもVPN装置をはじめとした医療機関内のシステム、ネットワーク
機器、サーバ等のパスワードが共通(使い回し)にされていたなど、不適切なパスワードの設定・管
理が被害拡大の要因であった事が判明した。
方針
•
パスワードを強固なものに変更し、使い回しをしないよう適切な管理・設定を求める。
•
事業者確認用の項目においては、事業者側の管理のみではなく、医療機関に導入したサーバ、
ネットワーク機器についても確認する。
〈強固なパスワードとは〉
‒
長く、複雑で、推測困難
‒
13 桁以上(桁数が多いほど、機械的な総当たりでの解析が困難)
‒
英数字、大文字・小文字、記号が混在(組み合わせが多いほど解析が困難)
‒
ランダムな文字列(単語等の組み合わせによる解析を回避)
‒
複数の機器や外部サービス等で、同一のパスワードを設定しない
〈危険なパスワード使い回し例〉
‒
施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
‒
事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
‒
出荷時のパスワードから変更を行っていない
4