CHECK
01
事業継続計画(BCP)の実効性強化と訓練の義務化
サイバー攻撃を100%防ぐことは困難であるという前提に立ち、インシデント発生時にいかに診療機能を維持し、迅速に復旧させるかという「事業継続計画(BCP)」の重要性が浮き彫りになりました。電子カルテシステムが停止した場合を想定し、紙媒体での運用への具体的な切り替え手順、代替となる情報伝達手段の確保、復旧までのタイムラインなどを具体的に定めたBCPを策定すべきです。さらに、策定した計画が形骸化しないよう、年に一度以上の実践的な訓練(例:システム停止を想定した模擬診療)を実施し、職員全員が混乱なく対応できる体制を構築することが不可欠です。
CHECK
02
データのバックアップ体制の多層化と隔離
ランサムウェア攻撃の被害を最小限に抑えるには、データの復元可能性が生命線となります。攻撃者はバックアップデータごと暗号化、あるいは破壊しようとします。そのため、バックアップデータはネットワークから物理的・論理的に完全に切り離された場所(オフライン/エアギャップ)に保管することが極めて重要です。また、少なくとも「3つのコピーを、2種類の異なる媒体に、1つはオフサイト(遠隔地)に」保管する「3-2-1ルール」を徹底し、さらにデータの書き換えを防ぐイミュータブル(不変)ストレージの活用も検討すべきです。これにより、万が一メインシステムとオンラインバックアップが同時に被害を受けても、安全なデータからの復旧が可能となります。
CHECK
03
脅威の早期検知とインシデント対応体制の事前構築
攻撃の被害拡大を防ぐには、侵入の兆候をいかに早く検知し、初動対応を迅速に行えるかが鍵となります。サーバーや端末の不審な挙動を監視・検知するEDR(Endpoint Detection and Response)や、ネットワーク全体の通信を監視するNDR(Network Detection and Response)といったソリューションの導入は、脅威の可視化に有効です。また、インシデント発生時に自組織だけで対応するのは困難を極めるため、平時からセキュリティ専門企業とインシデント対応支援の契約(リテイナー契約)を締結し、有事の際に即座に専門家の支援を受けられる体制を整えておくことが強く推奨されます。
