SOLUTION
サイト内検索
組織におけるセキュリティ対策の現状
IT化・DX化が進む現代社会では、どの業界においても“情報漏えいのリスク”にさらされています。
医療業界では、2022年10月に大阪の大型病院がランサムウェアによる攻撃を受けて、外来診療や検査の停止を余儀なくされ、完全復旧まで約2ヶ月を要するという事案が発生しました。
このことが大きなきっかけとなり、医療機関において“情報セキュリティ対策の強化”は、迅速に対応しなければならない重要な課題となっています。
IPA(情報処理推進機構)が発表している『情報セキュリティ10大脅威2024』によると、
企業など組織におけるセキュリティの脅威の上位は、下記の通りです。
【組織におけるセキュリティ脅威】
1位 ランサムウェアによる被害
2位 サプライチェーンの弱点を悪用した攻撃
3位 内部不正による情報漏えい
(※出典:IPA 独立行政法人情報処理推進機構 『情報セキュリティ10大脅威2024』より一部抜粋 https://www.ipa.go.jp/security/10threats/10threats2024.html)
この結果が示す通り、情報が流失する原因は、ハッカーなど外部からの攻撃が大きいな脅威であることに加え、内部からの場合も少なくありません。
これらの被害を可能な限り防ぎ、リスクを低減する対策として有効とされているのが、「多要素認証」や「アクセスの制御および監視」をする仕組みの導入です。
医療機関におけるセキュリティ対策のポイント
情報セキュリティの強化に有効とされる2つの対策
◎「多要素認証」
外部の第三者による“ユーザーなりすまし”をできにくくする。
◎「アクセスの制御および監視」をする仕組み
不正行為が行われた場合、“いつ・どこで・行われたか”の追跡を可能にする。
厚生労働省が策定している『医療情報システムの安全管理に関するガイドライン』でもこの2つの対策について、
【令和9年度に稼働するシステムにおいては「二要素認証(多要素認証)」の利用が必須】
【システム操作者の説明責任を果たす観点から「アクセスログの取得」が必要】
との記載があり、今後セキュリティ対策を講じる上で、これらの対策を導入して連携させることが、ガイドラインに適合する必須要件となります。
「二要素認証/多要素認証」とは
異なる認証要素を複数組み合わせた認証のことで、1人のユーザーに対して2種類の確認をするのが【二要素認証/2FA (2 Factor Authentication)】、1人のユーザーに対して2種類以上の確認プロセスを踏む場合は【多要素認証/MFA(Multi Factor Authentication)】と呼ばれます。
認証要素としてICカードや、指紋や顔などで確認する「生体認証」などが用いられます。
トーショーができるセキュリティ対策支援
トーショーは、国際規格である『ISO27001』の認証を取得しており、情報セキュリティに関する高度な知識を持つ『情報処理安全確保支援士』も在籍しています。
確かな専門知識に基づいて、セキュリティ対策を備えた自社システムおよび機器の開発を進めると同時に、お客様に対してセキュリティ対策の導入支援や運用のアドバイスなどを積極的に行っています。
◆トーショー製品のセキュリティ対策機能
トーショーが提供している薬品管理装置「LITERA(リテラ)」は、薬品の取出と返却を自動でカウント・記録し、リアルタイムの在庫管理を実現するシステムです。
このシステムには情報セキュリティ対策機能に加え、薬品管理に関するセキュリティ機能も搭載されています。
LITERA Ⅱ
○ログイン機能(多要素認証)/アクセス履歴の記録
職員はICカード認証や生体認証、IDバーコードのスキャンによってログインし、個人ごとに作業記録が残る仕組みになっています。
○薬品管理に関するセキュリティ機能
[電磁ロック]
薬品の収納棚の扉に電磁ロックを採用し、不正なアクセスを防止。
[操作履歴の自動記録]
薬品の出し入れを自動記録すると同時に、「誰が・いつ・どの薬品を操作したか」の履歴が残り、追跡調査が可能。
[音声・画面警告]
例えば、薬品を棚に戻す際に誤った場所に戻した場合など誤った操作が行われると、操作画面に表示され、音声や装置内のランプで警告。
よりセキュアな環境のために
トーショーでは、医療機関の業務全般において、よりセキュリティの高い環境構築と、厚生労働省が求める『医療情報システムの安全管理に関するガイドライン』の要件を満たすため、パートナー企業のセキュリティ対策サービスの導入も推奨しています。
「ARCACLAVIS Ways(アルカクラヴィス ウェイズ)」/株式会社両備システムズ
「ARCACLAVIS Ways」は、企業の機密情報や個人情報を様々な脅威から保護し、安全なIT環境を実現するため、多彩な機能を備えたセキュリティ対策製品です。情報漏えい対策や内部不正対策として、大手企業や官公庁などに幅広く導入されています。
【5つの特長】
1.多要素認証によるセキュリティ強化
ICカード、指紋&指静脈、顔認証など様々な認証方法に対応し、ID・パスワード認証よりも強固なセキュリティを実現します。
また、緊急時には管理者が発行する「緊急パスワード」や「仮カード」で一時的に本人認証を行うことも可能です。
2.シングルサインオンによる利便性向上
クラウドサービスや社内システムなど、様々なアプリケーションへのシングルサインオンに対応しています。
パスワード自動変更機能により、定期的なパスワード変更の手間を削減できるほか、初回ログイン時にアカウント情報を保存することで、2回目以降のログインを自動化できます。
3.外部デバイス制御による情報漏えい対策
ユーザー単位でUSBメモリやCD-ROMなどの外部デバイスの使用を制限できます。
また、ファイルの自動暗号化・復号化機能により、USBメモリなどで個人情報を含むデータを社外に持ち出す際の情報漏えい対策も可能です。
4.ログ収集による証跡管理
デバイス認証やシングルサインオン利用時のログを記録することで、いつ誰がどの端末で何をしたかを把握できます。
共有アカウントを使用している場合でも、ログから個人を特定することが可能です。
5.Active Directory連携による管理負荷軽減
Active Directoryと連携することで、ユーザーの追加・削除を自動化できます。
これにより、管理者は手作業でユーザー情報を登録する手間を省くことができます。
「SKYSEA Client View(スカイシー クライアント ビュー)」/Sky株式会社
「SKYSEA Client View」は、企業のIT資産管理やセキュリティ強化、そして働き方の現状把握をサポートすることで、安全かつ適切な業務運営を支援するクライアント運用管理ソフトウェアです。
企業の安全なIT運用を支援する各種機能を搭載し、クライアントPC、サーバー、ソフトウェア、ネットワーク機器などのIT資産の一元管理を実現します。
2007年のVer.1リリース以降、毎年バージョンアップを重ね、株式会社富士キメラ総研の「2023 ネットワークセキュリティビジネス調査総覧 市場編」(2023年12月14日発刊)において「端末管理・セキュリティツール(ソフトウェア)」2022年度市場シェア1位を獲得しました。
【5つの特長】
1.IT資産の現状把握と管理
ハードウェアやインストールされているアプリケーションの情報を自動で収集・管理できます。
脆弱性対策として、複数クライアントPCへのソフトウェアの更新プログラムの一斉インストールも可能です。
2.情報漏えい対策
ファイル操作やWebアクセスなどのログを収集・管理することで、情報漏えいリスクの早期発見を支援します。
ファイルのWebアップロードや、業務に不要なアプリケーションの使用などを制限できます。
3.セキュリティ対策
Windows OSのアップデートやMicrosoft Officeの更新を制御したり、適切なタイミングで一斉にアップデートを行ったりと、自社の業務状況にあわせてセキュリティ対策を実施できます。
UTMやエンドポイントセキュリティ対策製品と連携し、外部からの攻撃を検知・ウイルス感染などの異常を検知したPCをネットワークから遮断します。
4.デバイス管理
USBデバイスやメディアの使用制限を、デバイスや使用者ごとに設定できます。
5.働き方改革支援
電源ON/OFFログやWeb会議時間を集計して表示でき、従業員の勤務実態の把握に役立ちます。
また、終業時刻など任意の時間にPC画面上にお知らせメッセージを表示し、業務終了や残業申請を促します。
センシティブな情報を扱う医療機関にとって、情報セキュリティ対策は永続的な重要課題です。
トーショーはお客様のニーズに合わせた最適な対策をご提案するとともに、お客様の情報資産を守るべく、自社のセキュリティ対策の強化を続けてまいります。