よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (24 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ィ・ホール(脆弱性)が報告されているソフトウェアへのパッチ適用、利用していないサービスや通信ポートの閉鎖、
ネットワークの構成分割やネットワーク間のアクセス制御、マクロ等の利用停止、メールやファイルの無害化がある。
また、EDR(Endpoint Detection and Response)等による「振る舞い検知」も有効な方策である。いずれ
の対策を行う場合も、業務への影響や、処理の速度、可用性について、事前に十分検討すること。
➢
医療機関等の外部で利用する端末や PC 等についても同様のリスクがあり、これらの情報機器等についても、上
記の対応を行うこと。
8.2 情報機器等の脆弱性への対策
➢
システム運用担当者は、医療情報システムが利用する情報機器等の脆弱性に関する情報を常に収集し、脆弱
性への対応を速やかに行う必要がある。
➢
情報機器等には、利用者が直接利用する PC 等の端末のほか、医療情報システムで利用する機能等のサービス
を提供するサーバや、ネットワークに関連する機器等、様々なものがある。
➢
近年のサイバー攻撃では、情報機器等に内蔵されるファームウェアや、格納されるプログラム等の脆弱性、EOS
(End of Support:サポート終了)の対象となった情報機器等が起点となり、攻撃を受ける事案が多くみられ
ている。必要な脆弱性対策が見逃されたことに起因するランサムウェア攻撃も見られる。
➢
システム運用担当者は、情報機器等に関して、定期的に脆弱性スキャンを行うほか、脆弱性に関する最新の情
報を収集することが求められる。PC の OS に関する脆弱性情報は、OS やマルウェア対策ソフトを提供する事業者
などが提供している。また、重大な脆弱性情報は「国家サイバー統括室(NCO)」や「独立行政法人情報処理
推進機構(IPA)」などが定期的に公表している。これらの情報を確認するほか、契約事業者に対応を確認す
るなどして、最新の情報を入手すること。
➢
利用するソフトウェアについて、SBOM(Software Bill of Materials:ソフトウェア部品表)が事業者から提
供されることもある。システム運用担当者は SBOM を用いることで、脆弱性を適切に管理し、安全性及び可用性
を脅かすリスクを低減できる。そのため、システム運用担当者は、医療情報システムの導入時、及び保守時などに
おいて適宜、SBOM の提供、またはこれに基づく安全性の確認を医療情報システム等提供事業者に求めること1。
➢
必要に応じて速やかに脆弱性対策を講じる必要があるが、他のソフトウェアの動作等に影響することも想定される。
事前に事業者に脆弱性対策の実施の可否を確認し、対応が難しい場合には、当該リスクに対する対策や管理
方法を協議の上、代替策を講じること。
➢
検査装置等に付属するシステム・機器についても同様である。また医療機器が EOS を迎えた場合の対応等につ
いては、「医療機関における医療機器のサイバーセキュリティ確保のための手引書」を踏まえ、医療機器安全管理
責任者等の医療機器を管理する部署の担当者と医療情報システム安全管理責任者等のシステム担当者が十
分に連携を取りながら管理すること。
➢
本ガイドラインは、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する要件を定めており、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35 年8月 10 日法律第
145 号)の定める医療機器のサイバーセキュリティの対策については、「医療機器におけるサイバーセキュリティの
1
SBOM の取扱いについては、「医療機器のサイバーセキュリティ導入に関する手引書」の「附属書 A. ソフトウェア部品表(SBOM)の
扱い」が参考になる。
- 18 -
ネットワークの構成分割やネットワーク間のアクセス制御、マクロ等の利用停止、メールやファイルの無害化がある。
また、EDR(Endpoint Detection and Response)等による「振る舞い検知」も有効な方策である。いずれ
の対策を行う場合も、業務への影響や、処理の速度、可用性について、事前に十分検討すること。
➢
医療機関等の外部で利用する端末や PC 等についても同様のリスクがあり、これらの情報機器等についても、上
記の対応を行うこと。
8.2 情報機器等の脆弱性への対策
➢
システム運用担当者は、医療情報システムが利用する情報機器等の脆弱性に関する情報を常に収集し、脆弱
性への対応を速やかに行う必要がある。
➢
情報機器等には、利用者が直接利用する PC 等の端末のほか、医療情報システムで利用する機能等のサービス
を提供するサーバや、ネットワークに関連する機器等、様々なものがある。
➢
近年のサイバー攻撃では、情報機器等に内蔵されるファームウェアや、格納されるプログラム等の脆弱性、EOS
(End of Support:サポート終了)の対象となった情報機器等が起点となり、攻撃を受ける事案が多くみられ
ている。必要な脆弱性対策が見逃されたことに起因するランサムウェア攻撃も見られる。
➢
システム運用担当者は、情報機器等に関して、定期的に脆弱性スキャンを行うほか、脆弱性に関する最新の情
報を収集することが求められる。PC の OS に関する脆弱性情報は、OS やマルウェア対策ソフトを提供する事業者
などが提供している。また、重大な脆弱性情報は「国家サイバー統括室(NCO)」や「独立行政法人情報処理
推進機構(IPA)」などが定期的に公表している。これらの情報を確認するほか、契約事業者に対応を確認す
るなどして、最新の情報を入手すること。
➢
利用するソフトウェアについて、SBOM(Software Bill of Materials:ソフトウェア部品表)が事業者から提
供されることもある。システム運用担当者は SBOM を用いることで、脆弱性を適切に管理し、安全性及び可用性
を脅かすリスクを低減できる。そのため、システム運用担当者は、医療情報システムの導入時、及び保守時などに
おいて適宜、SBOM の提供、またはこれに基づく安全性の確認を医療情報システム等提供事業者に求めること1。
➢
必要に応じて速やかに脆弱性対策を講じる必要があるが、他のソフトウェアの動作等に影響することも想定される。
事前に事業者に脆弱性対策の実施の可否を確認し、対応が難しい場合には、当該リスクに対する対策や管理
方法を協議の上、代替策を講じること。
➢
検査装置等に付属するシステム・機器についても同様である。また医療機器が EOS を迎えた場合の対応等につ
いては、「医療機関における医療機器のサイバーセキュリティ確保のための手引書」を踏まえ、医療機器安全管理
責任者等の医療機器を管理する部署の担当者と医療情報システム安全管理責任者等のシステム担当者が十
分に連携を取りながら管理すること。
➢
本ガイドラインは、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する要件を定めており、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35 年8月 10 日法律第
145 号)の定める医療機器のサイバーセキュリティの対策については、「医療機器におけるサイバーセキュリティの
1
SBOM の取扱いについては、「医療機器のサイバーセキュリティ導入に関する手引書」の「附属書 A. ソフトウェア部品表(SBOM)の
扱い」が参考になる。
- 18 -