厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」システム運用編は、企画管理者は脆弱性情報を常に収集し、速やかに対応する必要があるとしたうえで、他のソフトウェアの動作等に影響する可能性があるため、事前に事業者へ実施可否を確認し、対応が難しい場合にはリスクへの対策や管理方法を協議した上で代替策を講じる必要があると示しています。そして、この考え方は検査装置等に付属するシステム・機器についても同様だと明記されています。つまり、医療機関に求められているのは「全部すぐにパッチを当てること」だけではなく、当てられない機器に対して、未対応のまま放置しないことです。

この前提を踏まえると、14日目の記事で最初に伝えるべきことは明確です。原則はパッチ適用だが、適用困難な機器には代替策を設計する、という二段構えで考える必要があります。チェックリストマニュアルは、セキュリティパッチ(最新ファームウェアや更新プログラム)を適用していることを確認項目にしつつ、今後新規導入または更新する際には、保守契約の見直しや運用管理規程の変更により、セキュリティパッチを定期的に適用できる安全管理体制の構築に努めることが重要だとしています。また同マニュアルは、古いOSなどの理由で動作確認ができずパッチが適用されていない機器が攻撃対象になり得ることにも触れています。つまり、「当てられない機器がある」こと自体より、その状態を前提にした管理がないことが問題です。

1. まず「当てられない理由」をベンダー確認込みで明文化する

運用上いちばん危険なのは、「たぶん影響があるから当てていない」という曖昧な例外運用です。厚労省は、脆弱性対応にあたって事前に事業者に実施可否を確認すること難しい場合には代替策を講じることを求めています。したがって、パッチ未適用機器については、少なくとも対象機器、未適用理由、事業者確認日、業務影響、代替策、再判定日を残す必要があります。これは制度文言そのものではなく、厚労省の要求を実務へ落とした整理ですが、運用上はこの粒度まで書けて初めて“管理している”状態になります。

2. ネットワークで守る

パッチが当てられないなら、次に効くのは通信経路の制御です。システム運用編は、不正ソフトウェア対策や被害拡大防止策として、利用していないサービスや通信ポートの非活性化、ネットワークの構成分割、ネットワーク間のアクセス制御を挙げています。チェックリストマニュアルでも、接続元制限が確認項目になっており、説明ではネットワーク機器に接続できるMACアドレスを限定すること等の不正アクセス対策が例示されています。つまり、更新不能機器は“そのまま院内LANに置く”のではなく、通信先・通信元・到達範囲を狭めて守るのが基本です。

3. 端末・サービスを減らして守る

同じく厚労省は、被害拡大防止策として、不要なソフトウェアやサービスの停止、マクロ等の利用停止、メールやファイルの無害化を挙げ、さらにEDRや振る舞い検知も有効な方策だとしています。チェックリストマニュアルでも、バックグラウンドで動作している不要なソフトウェア及びサービスを停止していることが確認項目になっています。更新不能機器そのものに多くの対策を入れにくい場合でも、周辺端末、接続先サーバ、メール経路、ファイル授受経路の防御を厚くする余地はあります。これは公的資料に基づく実務上の整理です。

4. IoT機器や検査装置付属機器は、単体ではなく運用で守る

システム運用編は、IoT機器を利用する場合は、製造販売業者から提供された当該医療機器のサイバーセキュリティ情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること、さらにセキュリティ上重要なアップデートを必要なタイミングで適切に実施する方法を検討し運用することを求めています。加えて、使用が終了した又は不具合のため使用を停止したIoT機器をネットワークに接続したまま放置しないことも明示されています。ここから言えるのは、IoT機器や検査装置付属機器は、PCのように一律運用するのではなく、製造販売業者の情報を前提に、個別にリスク分析し、使い方と接続のルールで守る必要があるということです。

5. 台帳・保守経路・MDS/SDSで「見える化」する

更新不能機器の管理で見落とされやすいのが、どこにあり、誰が保守し、何がつながっているかの把握です。チェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理を求め、台帳には所在、利用者、ソフトウェアやサービスのバージョンなどを含める想定だとしています。また、リモートメンテナンスを利用している機器の有無を事業者に確認することMDS/SDSを回収することも求めています。パッチを当てられない機器ほど、台帳・保守経路・製品情報の3点が見えていないと守れません。どの機器が例外運用なのかが分からなければ、代替策も打てないからです。

6. EOS機器は「代替策で延命」ではなく更改計画へつなぐ

厚労省は、近年の攻撃ではファームウェアやプログラム等の脆弱性だけでなく、EOS(販売終了・サポート終了・サービス終了)の対象となった情報機器等を攻撃する例が多いと説明しています。したがって、EOS機器を代替策だけで長期運用する発想には限界があります。チェックリストマニュアルも、新規導入・更新時には定期的にパッチ適用できる体制の構築が重要だとしています。ここから実務上導ける結論は、代替策は更改までの橋渡しであって、恒久対策ではないということです。更新不能機器については、代替策と同時に更改時期、予算、責任者、代替製品検討まで持たせる必要があります。これは公的資料に基づく実務上の評価です。

もう一点、医療機器そのもののサイバーセキュリティは、一般のIT機器と同じ文書だけでは足りません。システム運用編は、医療機器の製造販売業者と必要な連携を図ることを求め、参照先として**「医療機関における医療機器のサイバーセキュリティ確保のための手引書」等を挙げています。厚労省の通知一覧でも、この手引書と「医療機器のサイバーセキュリティ導入に関する手引書」が2023年3月31日掲載で案内されています。したがって、更新不能機器の中でも医療機器に該当するものは、医療機関側だけで閉じず、製造販売業者との連携前提で扱う**必要があります。

このテーマで一番伝えたい結論は、「パッチを当てられない」は免罪符ではなく、別の管理責任の始まりだということです。厚労省の公的資料をつなぐと、必要なのは未適用理由の記録、ベンダー確認、ネットワーク分離、不要機能停止、リモート保守把握、MDS/SDS確認、EOS更改計画まで含んだ運用です。更新不能機器はゼロにできなくても、無管理の例外機器は減らせます。14日目の記事では、そこを読者に伝えるのが主題になります。