厚生労働省より、医療機関等におけるサイバーセキュリティ対策の強化に関し、VPN装置等のネットワーク機器を対象とした注意喚起が示され、京都府を通じて周知依頼がありました。
近年、医療機関等を標的としたサイバー攻撃が継続して発生しており、特にVPN装置等のネットワーク機器の脆弱性を突いた不正アクセスが、ランサムウェア感染の主な原因となっています。
このため、医療機関等において特に迅速な対応が求められる事項として、VPN装置の管理体制および技術的対策に関する確認事項が整理されています。

【主な確認・対応事項】
・VPN装置等の保守管理について、委託先との責任分界が契約等により明確になっているかを確認すること
・VPN装置がサポート終了（EOS）製品となっていないかを確認し、該当する場合は速やかに更新等を検討すること
・不要なポートや管理機能がインターネット側に公開されていないかを点検し、適切なアクセス制御を行うこと
・VPN接続が不要な時間帯も常時接続されたままとなっていないかを確認すること
・ID・パスワードのみの認証に依存せず、多要素認証等の導入を検討すること

本通知の内容については、医療情報システム安全管理責任者に限らず、医療機器安全管理責任者、医療放射線安全管理責任者等、関係する担当者間での共有が求められています。
会員施設におかれましては、今一度、自施設に設置されているVPN装置等のネットワーク機器について点検を行い、必要な対策を講じていただきますようお願いいたします。
VPN 装置等のネットワーク機器におけるサイバーセキュリティ対策の徹底について