厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ | ScanNetSecurity
2022.11.28(月)

厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ

 厚生労働省は11月10日、医療機関等におけるサイバーセキュリティ対策の強化について注意喚起を発表した。タイトルタグによると参事官井上氏と中澤氏が文書の修正を行っている。

脆弱性と脅威 脅威動向

 厚生労働省は11月10日、医療機関等におけるサイバーセキュリティ対策の強化について注意喚起を発表した。タイトルタグによると参事官井上氏と中澤氏が文書の修正を行っている。

 大阪急性期・総合医療センターでのランサムウェアによるサイバー攻撃では、医療機関自身のシステムではなく院外の調理を委託する事業者のシステムを経由した可能性が高いことを受け、医療機関自身のシステムにおけるサイバーセキュリティ対策に加え、サプ
ライチェーンとの接続状況や、取引先システムのサイバーセキュリティ対策等をも俯瞰しつつ、必要な対策を講じる必要性があるとしている。

 同省では、下記の対策が適切に講じられているか確認し、サイバー攻撃を受けた場合にも事業継続計画等により地域住民の医療提供体制に支障が出ないよう注意喚起を行っている。

1.サプライチェーンリスク全体の確認
 関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点をすべて管理下におき、脆弱性対策を実施

2.リスク低減のための措置
・パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
・IoT 機器を含む情報資産の保有状況を把握する。
・VPN装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性にはセキュリティパッチを迅速に適用する。
・悪用が報告されている脆弱性は開発元が推奨する対策が全て行われていることを確認する。
・VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施する。
・不振なメールの添付ファイルの開封やURLの不用意なクリックしない。

3.インシデントの早期検知
・サーバ等における各種ログの確認。
・通信の監視・分析やアクセスコントロールの再点検。

4.インシデント発生時の適切な対処・回復
・事業継続計画の策定。
・データ消失等に備えたデータのバックアップ及び復旧手順の確認。
・インシデントを認知した際の対処手順の確認と外部関係機関への連絡体制や組織内連絡体制等の準備。
・インシデント発生やそのおそれがある場合は厚生労働省等の関係機関へ連絡。

5.金銭の支払いに対する対応
・金銭を支払っても、不正に抜き取られたデータの公開や販売の取り止めや暗号化されたデータの復元の保証がない。
・一度、金銭を支払うと、再度、別の攻撃を受け、支払い要求を受ける可能性が増す。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

    埼玉大学でドッペルゲンガードメイン「@gmai.com」に自動転送、約10ヶ月間続く

  2. 「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

    「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃

  3. 田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

    田沢医院にランサムウェア攻撃、電子カルテシステムが使用できない状況に

  4. サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)

    サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)PR

  5. 契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

    契約に反し個人情報取扱事務を再委託、横浜市委託先でPC盗難被害

  6. 庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

    庁内グループウェアへの不正ログインを繰り返した職員を戒告処分

  7. 水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

    水道メータ取替業務 委託先社員、業務上知った個人情報もとにLINEで連絡

  8. 創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

    創価大学の教員のメールアカウントが迷惑メール送信の踏み台に、SMTP認証を悪用した攻撃と推測

  9. 8大詐欺ワードとは、VISAグローバル調査

    8大詐欺ワードとは、VISAグローバル調査

  10. 秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

    秘匿処理が不十分、三重大学の提出資料 個人情報が閲覧可能な状態に

ランキングをもっと見る