全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる。欧州の機関が公開

ICT資産を知る（KNOW YOUR ICT ASSETS）

• システムとソフトウェアの設定を管理する
• すべての接続されたシステムとデバイスをスキャンし、監視する
• レガシーシステムにラベルを付けて隔離する

セキュアなシステム構成（SECURE SYSTEM CONFIGURATIONS）

• デフォルトのパスワードを変更する
• 不要なポートとサービスを無効にする
• 不要なソフトウェアをアンインストールする

アクセス制御（ACCESS CONTROL）

• 管理者権限を管理・監視する
• 最小権限の原則を適用する
• 強いパスワードを義務付け、従業員に対するパスワードマネージャーの提供を検討する
• 特にオンラインでアクセス可能なシステムには、多要素認証（MFA）を要求する

最新の状態を維持する（STAY UP-TO-DATE）

• すべてのデバイスに最新のセキュリティパッチをインストールする
• パッチを適用できない場合は隔離する
• クリティカルでない、またはベンダーによって制限されていないすべてのシステムで、自動的な定期更新を有効にする
• パッチ未適用の脆弱性やサポート切れのソフトウェアがないか、すべてのシステムとデバイスをスキャンする

マルウェア対策とセキュリティロギング（MALWARE PROTECTION AND SECURITY LOGGING）

• マルウェア対策ソリューションを展開する
• 承認されたアプリとソフトウェアのみを許可する
• ログイン失敗の試行、権限昇格、マルウェアのアラートについてログをレビューする

構成、ソフトウェア、データのバックアップ（BACKUPS OF CONFIGURATIONS, SOFTWARE AND DATA）

• 少なくとも1つのバックアップコピーは、ランサムウェア耐性があるか、オフラインでなければならない
• 完全性チェックを実施する
• バックアップからの復元をテストする
• データ保持期間を認識しておく

ネットワークを強化する（HARDEN YOUR NETWORKS）

• セキュアなネットワークプロトコルを使用する
• ネットワークセグメンテーションを適用する
• 24時間365日のフロー監視とアラートを設定する

企業メールの保護（CORPORATE EMAIL PROTECTION）

• ホストされたスパム／フィッシングのフィルタリングを有効にする
• 添付ファイルとリンクのスキャン（サンドボックス／セーフリンク）をオンにする
• ドメインスプーフィングをブロックするためにセキュアなプロトコルを義務付ける

セキュアなWi-Fi（SECURE WI-FI）

• 最新のワイヤレス暗号化標準を使用する
• ゲストWi-Fiを診療用（clinical）LANから隔離する
• 機密性の高い内部ネットワークのSSIDを非表示にする
• 強いWi-Fiパスワードを作成する

インターネットアクセスを強化する（FORTIFY INTERNET ACCESS）

• 次世代ファイアウォールを展開する
• ウェブアプリケーションフィルターを適用する
• WAF（Web Application Firewall）とDDoS緩和サービスで、インターネットに面したシステムを防御する
• オフサイト時にはVPNとMFAの使用を義務付ける

患者操作デバイスのセキュリティに留意する（MIND THE SECURITY OF PATIENT OPERATED DEVICES）

• デバイスが紛失、盗難、または誤用された場合に、永続的な被害が発生しないようにするための制御を設計する
• 強力な個人認証情報を使用する
• 非アクティブ状態の場合、強制的に自動ログアウトを実行し、ブラウザ／アプリのデータを消去する
• 明確なセキュリティ推奨事項を提供する

セキュアなモバイル使用を可能にする（ENABLE SECURE MOBILE USE）

• 承認されたアプリのみインストールを許可する
• デバイスが紛失した場合のリモートワイプを有効にする
• 強いパスワードと機密データの暗号化を義務付ける
• 30秒間の自動デバイスロックアウトを適用する

分類と保護（CLASSIFY & SAFEGUARD）

• 機密データを特定する
• 機密レベルに基づいてデータにタグを付ける
• 保存中および転送中のデータを暗号化する
• メタデータのクリーニングプロセスを実装する

ログと監視（LOG AND MONITOR）

• 健康記録へのすべてのアクセスをログに記録し、監視する
• 無権限アクセスやデータ漏洩がないかシステムをチェックする
• 通常とは異なる活動についてアラートを出す

デバイスとデータの保護（PROTECT DEVICES & DATA）

• デバイスを放置しない
• クリーンデスク／クリアスクリーン・ポリシーを義務付ける
• データの印刷をセキュアにする
• 資産のライフサイクル（廃棄または再利用）をセキュアにする
• クラウドEHR（Electronic Health Record：電子健康記録）およびホスト型アプリについてベンダーのSLAを確認する
• 緊急時の患者データへのアクセスを確保する

備える（BE PREPARED）

• インシデント対応プロセスを確立する
• チームを作り、役割と責任を割り当てる
• サイバーインシデントの場合に誰に連絡すべきかを知り、コミュニケーションをとる
• 最悪の事態を想定した計画を立てる
• 脆弱性スキャンと侵入テストを実施する

運用上の連携（OPERATIONAL COLLABORATION）

• サプライヤー、マネージドセキュリティサービスプロバイダー、他の病院や仲間との連携を確立する
• 関連する（relevant：報告すべき重要な）インシデントが発生した場合は、自国のナショナルCSIRTまたは監督当局に連絡し、その指示に従う

災害復旧（DISASTER RECOVERY）

• 煙、水、または電力の問題がある場合は、機器を安全にプラグから抜く
• 重要なデバイスを使用する際には無停電電源装置（UPS）を備える
• UPS／発電機のフェイルオーバーをテストする
• データセンター復旧計画に洪水、火災、または停電を含める

セキュアに調達する（PROCURE SECURELY）

• IT部門を関与させる
• 初期段階でセキュリティ要件を含める
• サプライヤーが標準に準拠していることを確認する
• SLAを通じて、サプライヤーのオンボーディング（onboarding：取引開始時）およびオフボーディング（offboarding：取引終了時）の手続きのセキュリティを確保する

サプライヤーとの関係（SUPPLIER RELATIONSHIP）

• アクセスを最小限の必要範囲に制限し、専用のセキュアなリモート接続を確保する
• インシデント報告を定義し、インシデント対応の手順を確立する
• サプライヤーに関連するセキュリティ問題について、誰に連絡すべきかを知る

戦略（STRATEGY）

• 役割別にトレーニングする
• 対象者に合わせてコンテンツを調整する
• ピア・ツー・ピア学習を使用する
• トレーナーを育成する
• 実践的にする
• トレーニングコースを文書化する

啓発活動（AWARENESS ACTIVITIES）

• フィッシングシミュレーション
• イントラネットページ、スタッフニュースレター
• 学習セッション
• 表彰
• 脱出ゲーム（Escape room）

トレーニング活動（TRAINING ACTIVITIES）

• ランサムウェアのシミュレーション
• サイバーセキュリティに関するゲーム化されたクイズ
• サイバーセキュリティ演習
• ケーススタディ

敷地（PERIMETER）

• スタッフと請負業者が常にバッジを着用していることを確認する
• 侵入警報を維持する
• すべての入退室を記録する
• 物理的にエリアにアクセスする権限がないと思われる人物に声をかけることを奨励する
• 監視カメラのカバー範囲を監査し、録画映像を30日間保存する

セキュアなワークスペースと施設（SECURE WORKSPACES & FACILITIES）

• デバイス、ケーブル、USBスティックを物理的にセキュアに守る
• 消火設備を使用する
• 暖房・換気・空調（HVAC：Heating, Ventilation, and Air Conditioning）をチェックする
• 非常口と火災報知器の場所を知っておく

　いわゆる「サイバー」を冠した一般的なセキュリティガイドと比べると、物理的なセキュリティにもしっかり言及している点をはじめ、医療機関向けであることは確かですが、その物理的なセキュリティを含め、セキュリティ対策としては一般的なものを、医療機関で特に必須とすべき項目を優先してまとめただけで、特に「斬新」な内容を含むものではありません。また、項目の中には漠然としたものも少なくなく、具体性に欠いているため、実際のセキュリティ対策を検討するにあたっては、このガイドだけで十分とは言えないでしょう。

　それでも、非常にコンパクトにまとまっていますので、そのコンパクトさを活かしつつ、ここから必要に応じて取捨選択、または読み替えをすれば、医療機関以外の一般的な企業や組織にも役に立つ内容にはなっています。例えば、チェックリストのように使うこともできるかもしれません。うまく活用してください。