全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開【海の向こうの“セキュリティ”】

---　 > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開【海の向こうの“セキュリティ”】](https://internet.watch.impress.co.jp/docs/column/security/2061462.html)【INTERNET Watch】(2025年11月11日) --- > [!NOTE] この記事の要約（箇条書き） - ENISAが全医療機関向けに「医療分野におけるサイバー衛生（Cyber Hygiene in the Health Sector）」ガイドを公開。 - 本文9ページのコンパクトな小冊子で、機密データ保護、サイバー脅威最小化、サイバーレジリエンス強化を目的とする。 - 大規模病院から小規模クリニックまで対象とし、一般的な企業・組織にも応用可能。 - ガイドは以下の8つの主要項目で構成される: 1. システムと医療サービスを保護する（ICT資産、システム構成、アクセス制御、最新状態維持、マルウェア対策、バックアップ） 2. ネットワークを保護する（ネットワーク強化、企業メール保護、セキュアなWi-Fi、インターネットアクセス強化） 3. スマートフォンとE-careのセキュリティに留意する（患者操作デバイス、セキュアなモバイル使用） 4. 患者の記録を安全に保つ（分類と保護、ログと監視、デバイスとデータの保護） 5. インシデントを真剣に受け止める（準備、運用上の連携、災害復旧） 6. ICTサプライチェーンを管理する（セキュアな調達、サプライヤーとの関係） 7. スタッフにサイバー教育を行う（戦略、啓発活動、トレーニング活動） 8. 物理的セキュリティ（敷地、セキュアなワークスペースと施設） - 内容は普遍的で一般的なセキュリティ対策が中心だが、コンパクトでチェックリストとして活用できる。 > [!NOTE] 要約おわり --- 海の向こうの“セキュリティ” ## 全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開　欧州ネットワーク情報セキュリティ機関（The European Union Agency for Cybersecurity、以降ENISA）は、あらゆる医療機関を対象としたセキュリティガイド「Cyber Hygiene in the Health Sector（医療分野におけるサイバー衛生）」を公開しました。　これは、表紙や前書き、目次などを除いた本文が9ページ、しかも文字が少ない小冊子の形態で、非常にコンパクトにまとめられています。内容としては、医療機関が以下の目的を達成できるようにするための実用的手段を明確に、かつ、的を絞って提示していると謳っています。 - **機密データを保護する** **（Safeguard sensitive data）** - **一般的なサイバー脅威への露出を最小限に抑える** **（Minimise exposure to common cyber threats）** - **全体のサイバーレジリエンスを強化する** **（Strengthen overall cyber resilience）** 　なお、対象となる医療機関は、大規模な病院や医療提供者だけでなく、専門クリニックや一般開業医などの、リソースが不足しがちで、それでも大病院と同じように攻撃の対象となりやすい小規模な機関も含まれています。また、普遍性のある内容なので、日本でも十分に使えるものになっています。　さらに、医療機関向けにまとめられてはいるものの、個々の具体的な項目は医療機関以外の一般的な企業や組織にも（一部を読み替えるだけで）十分に参考になる内容となっています。　そこで今回は、このガイドの内容を紹介します。　まず、全体の構成は「サイバー衛生の実践（CYBER HYGIENE PRACTICES）」と題して、以下のようになっています。 - **1\. システムと医療機器を保護する** **（PROTECT YOUR SYSTEMS & MEDICAL DEVICES）** - **2\. ネットワークを保護する** **（PROTECT YOUR NETWORKS）** - **3\. スマートフォンとE-careのセキュリティに留意する** **（MIND THE SECURITY OF SMARTPHONES & E-CARE）** - **4\. 患者の記録を安全に保つ** **（KEEP PATIENT RECORDS SAFE）** - **5\. インシデントを真剣に受け止める** **（TAKE INCIDENTS SERIOUSLY）** - **6\. ICTサプライチェーンを管理する** **（MANAGE THE ICT SUPPLY CHAIN）** - **7\. スタッフにサイバー教育を行う** **（CYBER-EDUCATE YOUR STAFF）** - **8\. 物理的セキュリティ** **（PHYSICAL SECURITY）** 　なお、本稿執筆時点（2025年10月末）で、目次では「1. システムと医療 **機器** を保護する（PROTECT YOUR SYSTEMS & MEDICAL **DEVICES** ）」となっていますが、本文では「1. システムと医療 **サービス** を保護する（PROTECT YOUR SYSTEMS & MEDICAL **SERVICES** ）」となっており、どちらかが誤記である可能性があります。実際の内容からすると、「医療サービス（MEDICAL SERVICES）」の方が適切だと思いますが、直感的には「医療機器（MEDICAL DEVICES）」の方がイメージしやすいかもしれません。　本文の内容は以下のとおり。 ## 1\. システムと医療サービスを保護する（PROTECT YOUR SYSTEMS & MEDICAL SERVICES） ### ICT資産を知る（KNOW YOUR ICT ASSETS） - システムとソフトウェアの設定を管理する - すべての接続されたシステムとデバイスをスキャンし、監視する - レガシーシステムにラベルを付けて隔離する ### セキュアなシステム構成（SECURE SYSTEM CONFIGURATIONS） - デフォルトのパスワードを変更する - 不要なポートとサービスを無効にする - 不要なソフトウェアをアンインストールする ### アクセス制御（ACCESS CONTROL） - 管理者権限を管理・監視する - 最小権限の原則を適用する - 強いパスワードを義務付け、従業員に対するパスワードマネージャーの提供を検討する - 特にオンラインでアクセス可能なシステムには、多要素認証（MFA）を要求する ### 最新の状態を維持する（STAY UP-TO-DATE） - すべてのデバイスに最新のセキュリティパッチをインストールする - パッチを適用できない場合は隔離する - クリティカルでない、またはベンダーによって制限されていないすべてのシステムで、自動的な定期更新を有効にする - パッチ未適用の脆弱性やサポート切れのソフトウェアがないか、すべてのシステムとデバイスをスキャンする ### マルウェア対策とセキュリティロギング（MALWARE PROTECTION AND SECURITY LOGGING） - マルウェア対策ソリューションを展開する - 承認されたアプリとソフトウェアのみを許可する - ログイン失敗の試行、権限昇格、マルウェアのアラートについてログをレビューする ### 構成、ソフトウェア、データのバックアップ（BACKUPS OF CONFIGURATIONS, SOFTWARE AND DATA） - 少なくとも1つのバックアップコピーは、ランサムウェア耐性があるか、オフラインでなければならない - 完全性チェックを実施する - バックアップからの復元をテストする - データ保持期間を認識しておく ## 2\. ネットワークを保護する（PROTECT YOUR NETWORKS） ### ネットワークを強化する（HARDEN YOUR NETWORKS） - セキュアなネットワークプロトコルを使用する - ネットワークセグメンテーションを適用する - 24時間365日のフロー監視とアラートを設定する ### 企業メールの保護（CORPORATE EMAIL PROTECTION） - ホストされたスパム／フィッシングのフィルタリングを有効にする - 添付ファイルとリンクのスキャン（サンドボックス／セーフリンク）をオンにする - ドメインスプーフィングをブロックするためにセキュアなプロトコルを義務付ける ### セキュアなWi-Fi（SECURE WI-FI） - 最新のワイヤレス暗号化標準を使用する - ゲストWi-Fiを診療用（clinical）LANから隔離する - 機密性の高い内部ネットワークのSSIDを非表示にする - 強いWi-Fiパスワードを作成する ### インターネットアクセスを強化する（FORTIFY INTERNET ACCESS） - 次世代ファイアウォールを展開する - ウェブアプリケーションフィルターを適用する - WAF（Web Application Firewall）とDDoS緩和サービスで、インターネットに面したシステムを防御する - オフサイト時にはVPNとMFAの使用を義務付ける ## 3\. スマートフォンとE-careのセキュリティに留意する（MIND THE SECURITY OF SMARTPHONES & E-CARE） ### 患者操作デバイスのセキュリティに留意する（MIND THE SECURITY OF PATIENT OPERATED DEVICES） - デバイスが紛失、盗難、または誤用された場合に、永続的な被害が発生しないようにするための制御を設計する - 強力な個人認証情報を使用する - 非アクティブ状態の場合、強制的に自動ログアウトを実行し、ブラウザ／アプリのデータを消去する - 明確なセキュリティ推奨事項を提供する ### セキュアなモバイル使用を可能にする（ENABLE SECURE MOBILE USE） - 承認されたアプリのみインストールを許可する - デバイスが紛失した場合のリモートワイプを有効にする - 強いパスワードと機密データの暗号化を義務付ける - 30秒間の自動デバイスロックアウトを適用する ## 4\. 患者の記録を安全に保つ（KEEP PATIENT RECORDS SAFE） ### 分類と保護（CLASSIFY & SAFEGUARD） - 機密データを特定する - 機密レベルに基づいてデータにタグを付ける - 保存中および転送中のデータを暗号化する - メタデータのクリーニングプロセスを実装する ### ログと監視（LOG AND MONITOR） - 健康記録へのすべてのアクセスをログに記録し、監視する - 無権限アクセスやデータ漏洩がないかシステムをチェックする - 通常とは異なる活動についてアラートを出す ### デバイスとデータの保護（PROTECT DEVICES & DATA） - デバイスを放置しない - クリーンデスク／クリアスクリーン・ポリシーを義務付ける - データの印刷をセキュアにする - 資産のライフサイクル（廃棄または再利用）をセキュアにする - クラウドEHR（Electronic Health Record：電子健康記録）およびホスト型アプリについてベンダーのSLAを確認する - 緊急時の患者データへのアクセスを確保する ## 5\. インシデントを真剣に受け止める（TAKE INCIDENTS SERIOUSLY） ### 備える（BE PREPARED） - インシデント対応プロセスを確立する - チームを作り、役割と責任を割り当てる - サイバーインシデントの場合に誰に連絡すべきかを知り、コミュニケーションをとる - 最悪の事態を想定した計画を立てる - 脆弱性スキャンと侵入テストを実施する ### 運用上の連携（OPERATIONAL COLLABORATION） - サプライヤー、マネージドセキュリティサービスプロバイダー、他の病院や仲間との連携を確立する - 関連する（relevant：報告すべき重要な）インシデントが発生した場合は、自国のナショナルCSIRTまたは監督当局に連絡し、その指示に従う ### 災害復旧（DISASTER RECOVERY） - 煙、水、または電力の問題がある場合は、機器を安全にプラグから抜く - 重要なデバイスを使用する際には無停電電源装置（UPS）を備える - UPS／発電機のフェイルオーバーをテストする - データセンター復旧計画に洪水、火災、または停電を含める ## 6\. ICTサプライチェーンを管理する（MANAGE THE ICT SUPPLY CHAIN） ### セキュアに調達する（PROCURE SECURELY） - IT部門を関与させる - 初期段階でセキュリティ要件を含める - サプライヤーが標準に準拠していることを確認する - SLAを通じて、サプライヤーのオンボーディング（onboarding：取引開始時）およびオフボーディング（offboarding：取引終了時）の手続きのセキュリティを確保する ### サプライヤーとの関係（SUPPLIER RELATIONSHIP） - アクセスを最小限の必要範囲に制限し、専用のセキュアなリモート接続を確保する - インシデント報告を定義し、インシデント対応の手順を確立する - サプライヤーに関連するセキュリティ問題について、誰に連絡すべきかを知る ## 7\. スタッフにサイバー教育を行う（CYBER EDUCATE YOUR STAFF） ### 戦略（STRATEGY） - 役割別にトレーニングする - 対象者に合わせてコンテンツを調整する - ピア・ツー・ピア学習を使用する - トレーナーを育成する - 実践的にする - トレーニングコースを文書化する ### 啓発活動（AWARENESS ACTIVITIES） - フィッシングシミュレーション - イントラネットページ、スタッフニュースレター - 学習セッション - 表彰 - 脱出ゲーム（Escape room） ### トレーニング活動（TRAINING ACTIVITIES） - ランサムウェアのシミュレーション - サイバーセキュリティに関するゲーム化されたクイズ - サイバーセキュリティ演習 - ケーススタディ ## 8\. 物理的セキュリティ（PHYSICAL SECURITY） ### 敷地（PERIMETER） - スタッフと請負業者が常にバッジを着用していることを確認する - 侵入警報を維持する - すべての入退室を記録する - 物理的にエリアにアクセスする権限がないと思われる人物に声をかけることを奨励する - 監視カメラのカバー範囲を監査し、録画映像を30日間保存する ### セキュアなワークスペースと施設（SECURE WORKSPACES & FACILITIES） - デバイス、ケーブル、USBスティックを物理的にセキュアに守る - 消火設備を使用する - 暖房・換気・空調（HVAC：Heating, Ventilation, and Air Conditioning）をチェックする - 非常口と火災報知器の場所を知っておく　いわゆる「サイバー」を冠した一般的なセキュリティガイドと比べると、物理的なセキュリティにもしっかり言及している点をはじめ、医療機関向けであることは確かですが、その物理的なセキュリティを含め、セキュリティ対策としては一般的なものを、医療機関で特に必須とすべき項目を優先してまとめただけで、特に「斬新」な内容を含むものではありません。また、項目の中には漠然としたものも少なくなく、具体性に欠いているため、実際のセキュリティ対策を検討するにあたっては、このガイドだけで十分とは言えないでしょう。　それでも、非常にコンパクトにまとまっていますので、そのコンパクトさを活かしつつ、ここから必要に応じて取捨選択、または読み替えをすれば、医療機関以外の一般的な企業や組織にも役に立つ内容にはなっています。例えば、チェックリストのように使うこともできるかもしれません。うまく活用してください。 URL ENISA（2025年9月16日） eHealth security in the spotlight: A good practice guide for a robust and resilient EU health sector [https://www.enisa.europa.eu/news/ehealth-security-in-the-spotlight-a-good-practice-guide-for-a-robust-and-resilient-eu-health-sector](https://www.enisa.europa.eu/news/ehealth-security-in-the-spotlight-a-good-practice-guide-for-a-robust-and-resilient-eu-health-sector) ENISA（2025年9月16日） Cyber Hygiene in the Health Sector [https://www.enisa.europa.eu/publications/cyber-hygiene-in-the-health-sector](https://www.enisa.europa.eu/publications/cyber-hygiene-in-the-health-sector) まるちゃんの情報セキュリティ気まぐれ日記（2025年10月4日） ENISA 医療分野におけるサイバーハイジーン（2025.09.16） [http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/10/post-5bcb99.html](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/10/post-5bcb99.html) 山賀正人 CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。