［RMG10］No.6 セキュリティ対策を俯瞰するヒント十ヵ条

（執筆者）俯瞰マネジメント研究会　|　塚田智　

新時代のリスクマネジメントを考える十ヵ条シリーズ（RMG10）とは 世の中はICT社会化が加速しており、産業革命以来の大変革の時代という人もいます。個人情報を多く扱う医療機関は、これまで誰も考えたことがない程のICTリスクにさらされます。リスク対策に必要なことは前もって「考える」こと。倶楽部オベリスクのeアカデミアコースでは”考えるためのヒント”を提供しています。三人寄れば文殊の知恵です。当サイトではその一部を公開しています。もしご興味がございましたら、是非倶楽部オベリスクのeアカデミアコースへご加入ください。

１．情報システムとセキュリティ対策は切っても切り離せない。
医療機関では、情報システムの役割は大きくなるばかり。それに相関して安全性確保の重要性は増す一方。安全性スキルに裏付けするセキュリティ対策は、大切さは理解されているものの、実行プランに実用性が乏しく、スローガン倒れに終わっている。リスクマネージャーとしてはなかなか手を出しづらい領域といえる。
ここでは、施設により差はあろうが、現場でのセキュリティ対策状況を俯瞰し、これぐらいはという常識的対策・今後の方向性の検討を行ってみる。

２．まず分かりやすい物理的なアクセス管理の問題から。
サーバー機器のアクセス管理は一番目に必要。まずサーバー室の入口やサーバーラックの施錠を行う。次にアクセスできる人を限定し、その人達の入退室管理を行う。その次に管理方法。管理システムを導入しても良いが費用のハードルが高い。代替策として、人的配置と管理台帳によるアナログな方法も現実的。
二番目にはサーバーごとに、クライアント単位のアクセス制限を設けること。これはネットワークやWindowsADの設定で可能な範囲で良いと思われる。全てのサーバーにアクセスできるクライアントは便利なようだが、リスクマネージャーはそれだけリスクが増大していることを知るべきである。
三番目に必要な物理的制限は、外部からのアプリケーション利用と業者の保守作業のためのリモート接続。これらは通常ネットワークの機能で制限できる。ログから接続元や時刻も分かるので管理も比較的容易。一方、リモート接続のたびに接続許可の操作を必要とするので、現場や医師からクレイムが出る可能性がある。このクレイムは、リスクマネージャーとしては、「外部からのサーバーアクセスには、この程度の慎重さは必要」とやり過ごしたい。

３．次にソフト面のことを考える。
PCにセキュリティ対策ソフトを導入することは広く一般的に行われている。しかし運用上次のような管理上の難点があることも認識されている。
・・・続きをご覧になりたい方は「倶楽部オベリスク」のeアカデミアコースにご入会下さい。