よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


【参考資料3】医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日付け事務連絡).pdf (2 ページ)

公開元URL https://www.mhlw.go.jp/stf/newpage_29667.html
出典情報 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第13回 12/15)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。




サプライチェーンリスク全体の確認
上記の通り、自組織のみならずサプライチェーン全体を俯瞰し、発生が予見され
るリスクを医療機関等自身でコントロールできるようにする必要があることから、
関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク
接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実
施する。



リスク低減のための措置
〇パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除
しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
〇IoT 機器を含む情報資産の保有状況を把握する。
○VPN 装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性
は、攻撃に悪用される可能性があるので、セキュリティパッチ(最新のファーム
ウェアや更新プログラム等)を迅速に適用する。
○悪用が既に報告されている脆弱性については、ログの確認やパスワードの変更な
ど、開発元が推奨する対策が全て行われていることを確認する。
○VPN 機器に対する管理インターフェースのインターネット上の適切なアクセス
制限を実施する。
〇メールの添付ファイルを不用意に開かない、URL を不用意にクリックしないこと。
不審メールは、連絡・相談を迅速に行い組織内に周知する。



インシデントの早期検知
〇サーバ等における各種ログを確認する。
(例:大量のログイン失敗の形跡の有無)
〇通信の監視・分析やアクセスコントロールを再点検する。(例:不審なサイトへ
のアクセスの有無)



インシデント発生時の適切な対処・回復
〇サイバー攻撃を受け、システムに重大な障害が発生したことを想定した事業継続
計画が策定する。
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
〇インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、
外部関係機関への連絡体制や組織内連絡体制等を準備する。
○インシデント発生時及びそのおそれがある場合には、速やかに厚生労働省等の関
係機関に対し連絡する。