ENISA 医療分野におけるサイバーハイジーン (2025.09.16)

こんにちは、丸山満彦です。

ENISAが医療分野におけるサイバーハイジーンのガイダンスを公表していますね。

大病院ではなく、専門クリニックや一般の開業医向けです。

中小規模の組織が一定のサイバーセキュリティレベルになることが社会的にも重要であるということはわかっているものの、その手段が難しい。。。どの国も悩んでいますよね...

 

● ENISA

・2025.09.16 Cyber Hygiene in the Health Sector

Cyber Hygiene in the Health Sector	医療分野におけるサイバーハイジーン
This booklet, developed by ENISA, provides clear and targeted guidance with practical steps that health entities can take to:	ENISAが作成した本冊子は、医療機関が以下の目的で実践できる明確かつ的を絞ったガイダンスを提供します：
-  Safeguard sensitive data	・機密データの保護
- Minimise exposure to common cyber threats-	・一般的なサイバー脅威への曝露の最小化
- Strengthen overall cyber resilience.	・全体的なサイバーレジリエンスの強化
This guidance is intended for both large hospitals and healthcare providers, as well as smaller entities, such as specialist clinics and General Practitioners, which often lack the resources but remain equally vulnerable to cyber-attacks.	本ガイダンスは、大規模病院や医療提供者だけでなく、専門クリニックや一般開業医など、リソースが不足しがちでありながらサイバー攻撃に対して同等に脆弱な小規模組織も対象としています。

 

・[PDF]

 

目次...

1. PROTECT YOUR SYSTEMS & MEDICAL DEVICES	1. システムと医療機器の保護
2. PROTECT YOUR NETWORKS	2. ネットワークの保護
3. MIND THE SECURITY OF SMARTPHONES & E-CARE	3. スマートフォンと電子医療のセキュリティ確保
4. KEEP PATIENT RECORDS SAFE	4. 患者記録の安全確保
5. TAKE INCIDENTS SERIOUSLY	5. インシデントの深刻な受け止め
6. MANAGE THE ICT SUPPLY CHAIN	6. ICTサプライチェーンの管理
7. CYBER-EDUCATE YOUR STAFF	7. 要員のサイバー教育
8. PHYSICAL SECURITY	8. 物理的セキュリティ

 

前書き的...

Health entities across Europe are increasingly reliant on digital solutions - from electronic health records and telemedicine to connected medical devices and Al-powered diagnostics. This digital transformation also brings greater exposure to cyber threats such as ransomware, phishing and the exploitation of system vulnerabilities, which can disrupt critical services, compromise patient safety, and undermine trust.	欧州全域の医療機関は、電子健康記録や遠隔医療から、接続型医療機器やAI診断に至るまで、デジタルソリューションへの依存度を高めています。このデジタル変革は、ランサムウェア、フィッシング、システム脆弱性の悪用といったサイバー脅威への曝露リスクも高めており、重要なサービスの混乱、患者の安全の侵害、信頼の失墜を招く恐れがあります。
Fortunately, many of these risks can be mitigated through relatively straightforward measures, including regular system updates, secure backup management, and multi-factor authentication, which can prevent the vast majority of common cyberattacks.	幸い、定期的なシステム更新、安全なバックアップ管理、多要素認証など比較的単純な対策で、こうしたリスクの多くは軽減可能です。これらの対策により、一般的なサイバー攻撃の大半を防ぐことができます。
This booklet, developed by ENISA, provides clear and targeted guidance with practical steps that health entities can take to:	ENISAが作成した本冊子は、医療機関が以下の目的を達成するための実践的な手順を明確かつ的を絞って示します：
◦ Safeguard sensitive data	◦ 機密データの保護
◦ Minimise exposure to common cyber threats	◦ 一般的なサイバー脅威への曝露の最小化
◦ Strengthen overall cyber resilience.	◦ 全体的なサイバーレジリエンスの強化
This guidance is intended for both large hospitals and healthcare providers, as well as smaller entities, such as specialist clinics and General Practitioners, which often lack the resources but remain equally vulnerable to cyber-attacks.	本ガイダンスは、大規模病院や医療提供者だけでなく、専門クリニックや一般開業医など、リソースが不足しているもののサイバー攻撃に対して同様に脆弱な小規模組織も対象としています。

 

 

もう少し詳細に...

1. PROTECT YOUR SYSTEMS & MEDICAL DEVICES	1. システムと医療機器の保護
KNOW YOUR ICT ASSETS	ICT資産の把握
SECURE SYSTEM CONFIGURATION	システム設定の保護
ACCESS CONTROL	アクセス制御
STAY UP-TO-DATE	最新状態の維持
MALWARE PROTECTION AND SECURITY LOGGING	マルウェア対策とセキュリティログ記録
BACKUPS OF CONFIGURATIONS, SOFTWARE AND DATA	設定・ソフトウェア・データのバックアップ
2. PROTECT YOUR NETWORKS	2. ネットワークの保護
HARDEN YOUR NETWORKS	ネットワークの強化
CORPORATE EMAIL PROTECTION	企業メールの保護
SECURE WI-FI	Wi-Fiのセキュリティ確保
FORTIFY INTERNET ACCESS	インターネットアクセスの強化
3. MIND THE SECURITY OF SMARTPHONES & E-CARE	3. スマートフォンと電子医療のセキュリティ確保
MIND THE SECURITY OF PATIENT OPERATED DEVICES	患者操作デバイスのセキュリティの確保
ENABLE SECURE MOBILE USE	安全なモバイル利用の実現
4. KEEP PATIENT RECORDS SAFE	4. 患者記録の安全確保
CLASSIFY & SAFEGUARD	分類と保護
LOG AND MONITOR	ログ記録と監視
PROTECT DEVICES & DATA	デバイスとデータの保護
5. TAKE INCIDENTS SERIOUSLY	5. インシデントの深刻な受け止め
BE PREPARED	準備を整える
OPERATIONAL COLLABORATION	運用上の連携
DISASTER RECOVERY	災害復旧
6. MANAGE THE ICT SUPPLY CHAIN	6. ICTサプライチェーンの管理
PROCURE SECURELY	安全な調達
SUPPLIER RELATIONSHIP	サプライヤーとの関係
7. CYBER-EDUCATE YOUR STAFF	7. 要員のサイバー教育
STRATEGY	戦略
AWARENESS ACTIVITIES	意識向上活動
TRAINING ACTIVITIES	トレーニング活動
8. PHYSICAL SECURITY	8. 物理的セキュリティ
PERIMETER	境界
SECURE WORKSPACES & FACILITIES	安全なワークスペースと施設