よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)[特集]医療機関等におけるサイバーセキュリティ (8 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
出典情報 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

トワーク経路を掌握し、不正な機器が接続されたり、不正なソフトウェアやデータが混入されたり、異
常なデータ通信が発生したりすることがないよう、管理する必要があります。
特に、セキュアなネットワークを整備する観点からは、ネットワークの論理的または物理的な構成の
分割、接続機器の制御、通信するデータの制御等を実施し、セキュリティを確保することが重要です。
4.1.2 アカウント管理
医療情報システムを利用・管理する関係者をリストアップし、それぞれがどのような権限でどのよう
なシステムを操作するのかを掌握しておく必要があります。
特に、システム関連事業者を含めて、システムの管理を行う関係者のアカウントの管理は厳重に行う
必要があります。
3.3の項でも少し触れましたが、不正ソフトウェアはシステムを解析し、管理者権限を奪取し、防
御を無力化します。管理者権限を奪取されると、アクティブディレクトリや LDAP のような利用者認証
のコントロールは奪われますが、運用系とバックアップ系などのセキュリティ系の認証を分離しておく
と、時間稼ぎにはなりますし、うまく行けばバックアアップ系やセキュリティ系を守ることができます。
また、昨今の情報システムは複雑で、様々なシステムが互いに自動的に連携したり、支援・制御して
いたりします。アカウント管理に、システムやアプリケーション等のソフトウェアも含めて管理するこ
とが重要です。
Windows のような PC の OS でもサーバ系の Linux 系の OS でも極めて多機能で、様々なプロセスが
インストールされており、必要に応じて、あるいは自動的に起動されています。医療情報システムで利
用しない機能は起動する必要はありません。起動していると、そのプロセスに脆弱性があればサイバー
攻撃の侵入口になります。不要なプロセスやプログラムは削除あるいは起動しないようにシステム関連
事業者に要求してください。また、実際に不要なプロセスが起動されていないかの監視も重要です。削
除や起動静止していたプロセスが、セキュリティパッチによって再生することもあります。

-6-