よむ、つかう、まなぶ。
【資料2―4】令和7 年度版医療機関におけるサイバーセキュリティ対策チェックリストマニュアル案 (確認用見え消し) (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_53554.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第24回 3/13)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
⑦
パスワードは英数字、記号が混在した8文字以上とし、定期的に変更している。
※二要素認証、または 13 文字以上の場合は定期的な変更は不要 (医療情報システム全般)
情報機器に対して起動時のパスワード等を設定すること、設定に当たっては出荷時に
おけるパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情
報機器の利用方法等に応じて必要があれば定期的なパスワードの変更等の対策を実施す
ることが求められます。(※)。
端末 PC のログインパスワードのみならず、サーバやネットワーク機器のパスワードが
推定しやすいものであると、サイバー攻撃の起点となります。サーバ、ネットワーク機
器のパスワードを事業者が管理している場合、医療機関は事業者確認用チェックリスト
を用いて、事業者の設定、運用しているパスワードがガイドラインの要件を満たすもの
であるかを確認する必要があります。
この際、事業者側は各医療機関のパスワードのリストについて、漏洩リスクを最小限
とする様、厳重に管理する必要があります。
医療機関の端末 PC においても、ユーザ向けログインパスワードをモニターに付箋で貼
る等の管理は絶対に避けなければなりません。
なお、利用するパスワードが 13 文字以上のランダムな設定がなされており、パスワー
ド管理の安全性などが担保されているシステムを用いている場合には、パスワードの定
期的変更は必ずしも求められません。また、二要素以上の認証の場合、ID/パスワードの
みの認証よりも安全性が高いことから、8文字以上の推定困難な文字列であれば定期的
な変更は求めないこととしています。定期的な更新が難しい場合はこのような設定をご
参考ください。
●強固なパスワードの例
・英数字、記号を混在させた 13 文字以上の推定困難な文字列
・英数字、記号を混在させた8文字以上の推定困難な文字列を定期的に変更させる
・二要素以上の認証の場合、英数字、記号を混在させた8文字以上の推定困難な文字
列
・複数の機器や外部サービス等で、同一のパスワードを設定しない
※「医療機関等におけるサイバーセキュリティ対策の取組みについて(周知)
https://www.mhlw.go.jp/content/10808000/001283914.pdf
10
令和6年 8 月1日付」
▶システム運用編
8.⑤
パスワードは英数字、記号が混在した8文字以上とし、定期的に変更している。
※二要素認証、または 13 文字以上の場合は定期的な変更は不要 (医療情報システム全般)
情報機器に対して起動時のパスワード等を設定すること、設定に当たっては出荷時に
おけるパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情
報機器の利用方法等に応じて必要があれば定期的なパスワードの変更等の対策を実施す
ることが求められます。(※)。
端末 PC のログインパスワードのみならず、サーバやネットワーク機器のパスワードが
推定しやすいものであると、サイバー攻撃の起点となります。サーバ、ネットワーク機
器のパスワードを事業者が管理している場合、医療機関は事業者確認用チェックリスト
を用いて、事業者の設定、運用しているパスワードがガイドラインの要件を満たすもの
であるかを確認する必要があります。
この際、事業者側は各医療機関のパスワードのリストについて、漏洩リスクを最小限
とする様、厳重に管理する必要があります。
医療機関の端末 PC においても、ユーザ向けログインパスワードをモニターに付箋で貼
る等の管理は絶対に避けなければなりません。
なお、利用するパスワードが 13 文字以上のランダムな設定がなされており、パスワー
ド管理の安全性などが担保されているシステムを用いている場合には、パスワードの定
期的変更は必ずしも求められません。また、二要素以上の認証の場合、ID/パスワードの
みの認証よりも安全性が高いことから、8文字以上の推定困難な文字列であれば定期的
な変更は求めないこととしています。定期的な更新が難しい場合はこのような設定をご
参考ください。
●強固なパスワードの例
・英数字、記号を混在させた 13 文字以上の推定困難な文字列
・英数字、記号を混在させた8文字以上の推定困難な文字列を定期的に変更させる
・二要素以上の認証の場合、英数字、記号を混在させた8文字以上の推定困難な文字
列
・複数の機器や外部サービス等で、同一のパスワードを設定しない
※「医療機関等におけるサイバーセキュリティ対策の取組みについて(周知)
https://www.mhlw.go.jp/content/10808000/001283914.pdf
10
令和6年 8 月1日付」
▶システム運用編
8.⑤