2022/10/04

コンピューターウイルスや不正アクセス等から医院を守るために最低限すべきこと

UTM ウイルス対策コンピュータウイルスセキュリティ不正アクセス中小企業対策

Contents

1.はじめに
2.UTMって何？
3.情報セキュリティ5か条
4.最後に

1.はじめに

「営業電話がかかってきて、ウイルスや不正アクセスを防止するためのネットワーク機器の導入を提案されているのですが、これって導入したほうがいいのですか？」こんなお問い合わせをいただくことがよくあります。

どんな製品、どんな料金なのかはそれぞれなので回答は状況によりますが、多くの場合において、「UTM」と呼ばれる機器の提案を受けていることがほとんどです。

2.UTMって何？

「UTM (Unified Threat Management)」とは、一般的に、院内のインターネットとの出入口となる、光回線の終端装置などの機器と接続して利用する複数のセキュリティ機能を1つにまとめた機器のことを言います。

「統合脅威管理」と呼ばれていて、不正なアクセスを遮断したり、インターネット側から侵入してくるコンピューターウイルスやスパムやワームなどから院内ネットワークを守ったり、院内から好ましくないWEBアクセスを自動で制限したりと、様々なセキュリティに関する対策を一括で管理できます。

このように説明すると、「よくわからないけど、これを1つ入れておけばセキュリティは守られるということですか？」とおっしゃられることが多いのですが、実はそう単純なものではありません。

もちろん、ちゃんとしたUTM製品であれば、あるのとないのとでは、あったほうが当然セキュリティレベルは上がります。しかし、近年ではUTMを導入していた組織でも、ウイルス被害を防げなかった事例は多々ありますから決して万能ではないのです。

さらに、UTMを導入することで本来許可されるべき通信も遮断されてしまうことがあるのですが、そのような通信を許可するように設定を変更する際に、正しく設定変更しないと、甘い設定になり過ぎて、せっかくセキュリティ対策のための機器を導入しているにも関わらず実質的に意味をなしていない状態になるということも少なくありません。

私は、仮にUTMを導入されることになったとしても、そもそも、情報セキュリティ対策の「基本」ができていなければ、被害は出てしまう可能性は高いと思っています。そこでまずは「基本」ができているかをチェックするため、情報処理推進機構(IPA)が提唱している「情報セキュリティ5か条」をご覧になることをおすすめします。

3.情報セキュリティ5か条

▼情報処理推進機構（IPA）提唱の「情報セキュリティ5か条」
https://www.ipa.go.jp/security/security-action/download/5point_poster.pdf

1. OSやソフトは常に最新の状態にすること

Windows 7 など、すでにサポートが終了しているバージョンを利用していたり、Windows Updateをしばらくしていないなど、最新の状態でないものは一般的に知られているセキュリティの穴がそのままになっていて危険です。そのようなOSやソフトはありませんか？

2. ウイルス対策ソフトを導入すること

ウイルス対策ソフトをインストールしていないパソコンでインターネットをするのは、もはや「ウイルスに感染してもいいです」と言っているようなものです。最近では、従来型のウイルス定義ファイルを使ってウイルスを特定するのではなく、ウイルス自体の挙動やAIで検知・隔離するソフトなどもあります。

3. パスワードを強化する

短いパスワード、単語や名前や数字ばかりのものなど、簡単なパスワードは専用ツールを使えばすぐに突破されます。英大文字小文字、数字、記号などをランダムに使って、桁数も最低8桁、できれば10桁以上のパスワードにして、決して使いまわしはせず1つのサービス/ユーザーに対して、1つのパスワードを使っていきましょう。

4. 共有設定を見直す

院長や事務長だけしかアクセスさせたくないファイルは、きちんとしたアクセス権が設定されていますか？また、クラウドサービスを利用するときも、必要な人に必要なだけの情報にアクセスできるような設定になっているか今一度確認しましょう。クラウドサービスのパスワードや院内無線LANのパスワードを知っているスタッフの方が退職したあとも、パスワードを変更していないということはよく聞きます。必ず変更してアクセスできないようにしましょう。