この連載では3回にわたり、医療機関が取るべきサイバーセキュリティの姿勢について紹介してきました。その中で共通しているのは、院内ネットワーク上の活動をできる限り予測可能な状態に保つことです。これにより、異常をすばやく検知できるようになり、結果として強固な防御につながります。

予測可能な状態とは、ネットワーク上で「誰が」「どの端末で」「どの業務を」「どの時間帯に」「どのような方法で」行うかが、あらかじめ把握・管理されている状態を指します。
例えば、電子カルテの操作は特定の職員が決まった端末で行い、外部との通信は制限されているなど、通常の業務の流れが明確であることが重要です。
このような状態であれば、通常とは異なる動き（例：深夜に不審な通信が発生する、未登録の端末からアクセスがあるなど）をすぐに「異常」として検知できます。
一方、スタッフがそれぞれ自由勝手に使える環境は、利便性が高い反面、侵害リスクを高め、異常の検知や対応を困難にします。

電子カルテをはじめとする医療情報システムの運用・管理を外部業者に委託するケースもあります。その場合、院内のセキュリティ運用についても、委託先と十分にすり合わせることが重要です。

前回の記事で、検査機器等の制御ソフトがWindowsで動作しているものの、汎用的なセキュリティ対策が取りにくいものがあるという点があげられました。
このような機器のセキュリティ対策はメーカー依存になり、また侵害された場合は気づきにくいものです。これらの機器を保護するには以下のような施策が考えられます。

電子カルテや予約システム、給与振り込み等、院内パソコンで行う業務は様々ですが、どれもあらかじめ把握できるものです。それら決められた業務以外をやらない、やらせないというポリシーを取ります。
例えば、全パソコンにおいてアプリのインストールを禁止することや、電子カルテへアクセスするパソコンではメールの確認やネットサーフィンを禁止するというようなことです。テクノロジーの観点からは以下のような設定が可能です。

患者向けのお知らせを送信するのにメールやLINEを活用したり、学会へ出席するためにノートパソコンを持っていくことも考えられます。出先ではUSBメモリーを使ってファイル交換をするかもしれませんし、メールやSNSの確認、動画視聴をされるかもしれません。
こうした外部との通信は便利ですが、外部からの情報受け取りには常にリスクが伴います。可能な限り避ける、または制限することが望ましいです。

データ保護の観点から、バックアップの運用は必要不可欠です。
ランサムウェアのようなサイバー攻撃のみならず、火災や自然災害など、データ消失に繋がる要因は多々あります。どのリスクに対応するかによって採用するソリューションも変わってきますが、最低限、以下のようなポリシーを取り入れるべきだと思います。

医療機関でも、各種支払いにインターネットバンキングを利用することが一般的です。このアカウントの管理は、外部からの不正アクセスだけでなく、内部者による不正も想定しておく必要があります。

サイバーセキュリティの実現には紹介した以外にも多くの検討項目があります。また仕組みを作ったら終わりではなく、継続的な運用と見直しが必要です。
取り組み方次第で大変さの度合いが異なりますが、一般的に言えるのは事前にしっかり準備しておけば後が楽になるということです。

この記事がセキュリティ対策を考えるきっかけになれば幸いです。

（追記）中国の政府系ハッカー集団が活動方向転換、利潤追求に変化？