サイバーセキュリティ 
『HIPAA Journal (医療保険の携行性と責
病院やクリニックのデジタル化が進む中、医療機関はサイバー攻撃の主要な標的となっています。近年では、ランサムウェア攻撃によって医療機関が重要なサービスを停止せざるを得なくなり、診療の遅延や、場合によっては患者の安全に直接影響を及ぼす事例も発生しています。
日本では、2022年に大阪急性期・総合医療センターがサイバー攻撃を受け、電子カルテ(EMR)が停止し、手術が数カ月にわたり延期されました。さらに2025年2月には、宇都宮中央クリニックがQilinランサムウェア攻撃を受け、約140GBの患者データが流出し、数十万人規模の診療に影響が及びました。
APAC全体、そして特に日本において、医療データは機密性が高く闇市場での価値も高いため、医療機関は攻撃者にとって魅力的な標的となっています。これらの事例は、医療業界が直面しているサイバーセキュリティリスクが、もはや一部の組織に限られた問題ではないことを示しています。
なぜ認証情報のセキュリティとゼロトラストが重要なのか
多くの医療機関における侵害の根本原因は、IDと認証情報の管理にあります。電子カルテや画像診断装置など、医療システムの多くはログインによるアクセス制御に依存しています。パスワードが弱い、使い回されている、あるいは複数の職員で共有されている場合、攻撃者はフィッシングやクレデンシャルスタッフィング、ブルートフォース攻撃(総当たり攻撃)を通じて不正アクセスを行うことが可能になります。
共有アカウントの存在は、誰がいつどのシステムにアクセスしたのかを特定できなくし、可視性と責任の所在を曖昧にします。たった一つの認証情報が侵害されるだけで、患者情報の漏えい、請求業務の停止、さらには診療業務そのものへの影響につながる可能性があります。
シフト勤務や共有端末が一般的な医療現場では、これらの課題はさらに深刻になります。強固なアクセス制御や一元管理された認証基盤がなければ、アクセス履歴の追跡は事実上不可能です。こうした背景から、認証情報管理は医療セキュリティにおける最も弱い部分となりやすく、いかなるユーザーやデバイスも本質的に信頼しないことを前提とし、あらゆる段階で継続的な検証と最小権限アクセスを徹底する「ゼロトラスト」アプローチが不可欠となります。
厚生労働省チェックリストが示す実践的な指針
これらの課題に対応するため、厚生労働省は「令和7年版 医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」を公開しました。このチェックリストは専門用語を極力避け、セキュリティ要件を現場で実行可能な行動に落とし込んでいる点が特徴です。
タイムリーなパッチ適用、不要なソフトウェアの削除、初期設定の強化など、攻撃の入口となりやすい基本的な対策の重要性が強調されています。
チェックリストでは、以下の点が求められています。
-
- 紙やExcelによる認証情報管理の廃止と、安全な一元管理への移行
-
- 多要素認証(MFA)の導入
-
- ロールベースの権限設計と不要な管理者権限の削除による最小権限の徹底
-
- 特権アカウントの監視と追跡性の確保
-
- 共有アカウントの利用者、利用日時、目的の明確化
-
- 第三者およびリモートアクセスの統制(期間限定アクセス)
-
- 医療情報システム安全管理ガイドラインに基づくアクセス制御、認可、ログ管理
これらの対策は、単なる規制対応にとどまらず、日常業務の中に「監査に耐えうる運用体制」を組み込むことを目的としています。
Keeperがどのように支援できるか
Keeperのソリューションは、医療機関のニーズに直接沿っているだけでなく、厚生労働省チェックリストの要件にも直接対応しています。強力なパスワードを自動生成し、安全に保管することで、使い回しや漏えいリスクを低減します。すべての認証情報はKeeper Vault内で暗号化され、安全な一元管理が可能です。
Keeperは多要素認証(MFA)をサポートし、重要なシステム全体でMFAを標準化することができます。KeeperPAM(特権アクセス管理)を活用することで、最小権限の徹底、特権アカウントの可視化と監査、共有認証情報の安全な管理、誰がいつ何にアクセスしたのかの追跡が可能になります。
委託業者やリモートユーザーには、目的と期間を限定したアクセス権を付与でき、セッションの記録と監視にも対応しています。ゼロトラストおよびゼロナレッジアーキテクチャに基づき、厚生労働省ガイダンスへの対応と運用負荷の軽減を両立します。
チェックリストの先にあるPAMの役割
医療分野のサイバーセキュリティは、IT部門だけの課題ではありません。感染対策と同様に、医師、看護師、事務職員、サポートスタッフを含む全員の関与が必要です。厚生労働省のチェックリストは重要な指針ですが、それを継続的に実行するためには技術的な支援が不可欠です。
攻撃者は一度ネットワーク内部に侵入すると、特権アカウントを狙って権限昇格や横断的な移動を行い、活動を隠蔽します。強固な特権アクセス管理がなければ、侵害は長期間発見されないまま進行する恐れがあります。
信頼と患者安全のために
政府のガイドラインは最低限の基盤を提供しますが、持続的な防御には、ID管理を確実に実行し、変化する脅威に対応できる技術が必要です。ゼロトラストの考え方は、継続的な検証、最小権限の厳格な適用、重要アカウントの監視を通じて、これを現実的なものにします。
最新の特権アクセス管理(PAM)プラットフォームは、医療機関に以下の価値を提供します。
-
- 規制要件や監査への対応
-
- 認証情報の盗難やデータ侵害の防止
-
- ユーザーアクセスの簡素化と安全性向上
-
- IT部門の運用負荷軽減
-
- 効率を損なうことなくセキュリティ態勢を強化
-
- 侵害発生時の重要データへのリスク低減
これらの対策により、弱い認証情報や更新漏れといった人的ミスを減らしつつ、医療従事者が安全かつ迅速にシステムへアクセスできる環境を実現します。医療機器の保護、患者情報の安全確保、緊急時の業務継続においても、セキュリティは診療を妨げるものではなく、支える存在であるべきです。
APAC全体で、医療機関は限られた人員と予算の中で防御力を高めるという共通の課題に直面しています。日本の新しいチェックリストは、そのための実践的な道筋を示しています。ゼロトラストと特権アクセス管理を組み合わせることで、形式的なコンプライアンスを超え、持続可能なセキュリティを実現することが可能です。
医療分野のサイバーセキュリティは、単なる規制対応ではありません。それは信頼と患者の安全を守るための基盤です。標準化されたフレームワークと最新のセキュリティ技術を組み合わせることで、方針を実運用に落とし込み、医療の質を損なうことなく守ることができます。
ガイダンスを実践へつなげるために
チェックリスト対応にとどまらず、実際の医療現場で機能する特権アクセス管理を導入したいと考える医療機関にとって、PAMソリューションは現実的な次のステップとなります。特権認証情報を保護し、最小権限を徹底し、重要なシステム操作を可視化することで、診療業務を妨げることなくリスクを低減できます。目的に応じて設計されたPAMプラットフォームを検討することは、セキュリティ方針を日常的かつ持続可能な運用へと変える第一歩です。医療向けに最適化された KeeperPAM は、厚生労働省の医療情報システム安全管理ガイドライン(チェックリスト)が求める認証情報管理やアクセス制御の考え方とも整合しており、現場運用を前提とした形で導入できます。導入をご検討でしたら、まずは無料相談にてお気軽にお問い合わせください。
無料トライアルで、現場での運用を体験
厚生労働省のチェックリストで求められる認証情報管理やアクセス制御を、実際の医療現場でどのように運用できるかを、無料トライアルでご確認いただけます。KeeperPAM は、最小権限の徹底、特権アクセスの可視化と監査を通じて、診療業務を妨げることなくセキュリティ態勢の強化を支援します。自院の環境に適した運用方法を、ぜひトライアルでご体験ください。
