厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ | ScanNetSecurity
2024.03.29(金)

厚労省が医療機関にサイバーセキュリティ対策を注意喚起、サプライチェーン全体の確認呼びかけ

 厚生労働省は11月10日、医療機関等におけるサイバーセキュリティ対策の強化について注意喚起を発表した。タイトルタグによると参事官井上氏と中澤氏が文書の修正を行っている。

脆弱性と脅威 脅威動向

 厚生労働省は11月10日、医療機関等におけるサイバーセキュリティ対策の強化について注意喚起を発表した。タイトルタグによると参事官井上氏と中澤氏が文書の修正を行っている。

 大阪急性期・総合医療センターでのランサムウェアによるサイバー攻撃では、医療機関自身のシステムではなく院外の調理を委託する事業者のシステムを経由した可能性が高いことを受け、医療機関自身のシステムにおけるサイバーセキュリティ対策に加え、サプ
ライチェーンとの接続状況や、取引先システムのサイバーセキュリティ対策等をも俯瞰しつつ、必要な対策を講じる必要性があるとしている。

 同省では、下記の対策が適切に講じられているか確認し、サイバー攻撃を受けた場合にも事業継続計画等により地域住民の医療提供体制に支障が出ないよう注意喚起を行っている。

1.サプライチェーンリスク全体の確認
 関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点をすべて管理下におき、脆弱性対策を実施

2.リスク低減のための措置
・パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
・IoT 機器を含む情報資産の保有状況を把握する。
・VPN装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性にはセキュリティパッチを迅速に適用する。
・悪用が報告されている脆弱性は開発元が推奨する対策が全て行われていることを確認する。
・VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施する。
・不振なメールの添付ファイルの開封やURLの不用意なクリックしない。

3.インシデントの早期検知
・サーバ等における各種ログの確認。
・通信の監視・分析やアクセスコントロールの再点検。

4.インシデント発生時の適切な対処・回復
・事業継続計画の策定。
・データ消失等に備えたデータのバックアップ及び復旧手順の確認。
・インシデントを認知した際の対処手順の確認と外部関係機関への連絡体制や組織内連絡体制等の準備。
・インシデント発生やそのおそれがある場合は厚生労働省等の関係機関へ連絡。

5.金銭の支払いに対する対応
・金銭を支払っても、不正に抜き取られたデータの公開や販売の取り止めや暗号化されたデータの復元の保証がない。
・一度、金銭を支払うと、再度、別の攻撃を受け、支払い要求を受ける可能性が増す。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る