［RMG10］リモート接続のリスクを考えるヒント十ヵ条

（執筆者）俯瞰マネジメント研究会　|　塚田智　

１．厚労省は、ランサムウエアによる医療機関へのサイバー攻撃が相次いでいるとして、全国の病院のサイバーセキュリティの実態調査を開始すると発表した。 今後医療機関のサイバーセキュリティ問題は、大きな関心を呼ぶと思われる。

２．デジタルリスクマネージャーにとってリモート接続に係るファイアウォールの脆弱性は、常日頃から感じられることである。機能やシステムの保守管理上、リモート接続は回避できないものである。しかし、そのリスクを最小にしておくことは、デジタルリスクマネージャーの職務である。ここで原点に立ち戻って、リモート接続のＩＤ管理について再学習をしておきたい。

３． 医療施設へ外部からリモート接続するのは、次に挙げるように、主にサーバーとアプリケーションの保守作業が目的である。
● サーバーのハードに問題ないか確認する。
● CPU、メモリー、ストレージの利用状況を確認する。
● アプリケーションプログラムを更新する、または更新のためのファイルを配布する。
● システムの設定を変更する、または障害を調査し修正する。
● 標準的なマスターや、薬品添付文書などのデータを更新する。

４．上記の作業は、業者から医療施設へリモート接続し、オンライン環境で実施される。 業者が現地に訪問して実施することは、ほとんどない。
サーバーやアプリケーションの保守作業はネットワーク越しに行われる。実際にサーバー室に入ってハードそのものを確認、操作するのは、部品交換などの特別な場合のみである。ネットワーク越しの作業であれば、施設内でも施設外でもできることは同じ。さらに、施設内では、作業場所が限られていたり、作業に必要な情報を取得しにくい場合が多く、非効率なことがある。もちろん、現地までの移動にかかる時間や費用を削減する意味もある。そのために、ほとんどのシステムにおいてリモート接続が必要になる。 ・・・

倶楽部オベリスクのeアカデミアコースでは、マネジメントを”考えるためのヒント”を提供しています。三人寄れば文殊の知恵です。ここではその一部を公開しています。もしご興味がございましたら、是非倶楽部オベリスクのeアカデミアコースへご加入ください。