医療機関向けセキュリティサービス『Ryobi-MediSec』
キャンペーン実施中
情報セキュリティ研修無償キャンペーンのお知らせ
中四国エリアの病床数200床以上の医療機関様向けに、情報セキュリティ研修動画のプレゼントキャンペーンを実施中です。
先着5団体までとなっておりますので、ご興味のある方はお早めにお申し込みください。
※対象エリアは、順次変更予定です。
昨今DXの必要性が叫ばれていますが、医療業界も厚生労働省が2024年3月12日「医療DX」のポータルサイト(*1)を開設し、医療業界のDX推進を推奨しています。
「医療DX」は、デジタル技術を活用して医療・介護の質の向上、効率化、患者・利用者の利便性向上を図ることを目的として、以下のような取り組みが含まれます。
- 電子カルテの普及と標準化(医療機関間での情報共有)
- オンライン診療
- AIの活用
- 患者ポータル
- データ連携基盤の構築
これら取り組みをを実現するためには、インターネットの利用、クラウドの活用が不可欠となり、同時に医療DXの推進に伴うサイバーセキュリティ対策は極めて重要といえます。
厚生労働省は、医療機関などで電子的な医療情報の取り扱いに関わる責任者向けに『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)』(*2)を公開し、その中で「セキュリティの責任者を置くこと(組織体制の構築)」「アクセス制御を適切に行うこと」「サイバー攻撃対策を行うこと」などが記載されています。
また、『令和6年度診療報酬改定の概要【医療DXの推進】』(*3)では、診療録管理体制加算の見直しのなかで【診療録管理体制加算1】の施設基準として「許可病床数200床以上の保険医療機関については、専任の医療情報システム安全管理責任者を配置すること」と記載されており、ここでもサイバーセキュリティ対策の責任者配置が求められています。
(*1)医療DXポータルサイト
https://www.mhlw.go.jp/stf/iryoudx.html
(*2)医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
(*3)令和6年度診療報酬改定説明資料等について
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000196352_00012.html
Ryobi-MediSec(リョウビ-メディセック)は、医療機関特有のセキュリティリスクへ対応するため、弊社のこれまでの経験・知見を取り入れた、医療機関向けのセキュリティサービスパッケージとなります。
当社のサイバーセキュリティチームによりセキュリティサービスを提供いたします。
厚生労働省『医療情報システムの安全管理に関するガイドライン』に対応し、医療機関の規模に応じたサービスラインナップを用意しています。
医療機関向けセキュリティサービス『Ryobi-MediSec』サービス概要
Ryobi-MediSecは下記Ⅰ~Ⅵタイプで構成されており、各タイプごとで組み合わせが可能です。
| Ⅰ | ・セキュリティ脅威の可視化 | アセスメントおよびセキュリティリスク診断サービス |
| Ⅱ | ・セキュリティ対策強化 ・二要素認証 |
セキュリティ機器の導入 エンドポイントのセキュリティ強化、二要素認証対策 |
| Ⅲ | ・セキュリティの運用監視 | 医療機関の規模に応じたSOCサービス |
| Ⅳ | ・職員向け教育・訓練 | 人的セキュリティリスク教育・訓練サービス |
| Ⅴ | ・サイバーセキュリティ保険 | セキュリティリスクの移転ならびに補償 |
| Ⅵ | ・インシデントレスポンス119サービス | 専任SEによるセキュリティインシデント対応 |
Ryobi-MediSecによる課題解決
Ryobi-MediSecサービスを活用することで、以下の課題解決が可能です。
- 外部からの攻撃に対して有効な対策が可能
- 院内スタッフへのセキュリティ教育ができる
- 今後の病院セキュリティ対策の重要ポイントが確認できる
当社はヘルスケア事業を通じて医療機関のお客様へ、セキュリティに関するコンサルティングを提供してまいりました。さらに2021年後半から、当社が提供している「インシデントレスポンス支援 119サービス」(緊急対応サービス)の需要が急増している事実から、事前のリスク分析から万が一の場合の緊急対応まで、セキュリティサービスパッケージをサイバーセキュリティチームで提供する仕組みを整えました。
病院・医療機関のサイバーセキュリティ対策
アセスメントおよびセキュリティリスク診断サービス
Ⅰ セキュリティ脅威の可視化
医療機関が医療DXを推進する際、まずセキュリティアセスメントを行い、セキュリティ診断を実施することは非常に重要です。セキュリティアセスメントや診断は、医療機関のセキュリティ体制の現状を把握し、改善点を特定するための基本的なステップです。
| タイプ | サービス | 概要 | 導入規模目安 ※ | 「医療情報システムの安全管理に関するガイドライン」該当項目 |
|---|---|---|---|---|
| Ⅰ-1 | ガイドラインチェックサービス | 医療情報システムに関する知見を持つセキュリティコンサルタントが、ガイドラインを元にリスク評価からセキュリティ対策の立案までアドバイスするサービスです。 | 小規模 中規模 大規模 |
6.2. ISMSの実践 6.3. 組織的安全管理対策 など |
| Ⅰ-2 | VPN機器診断サービス | サイバー攻撃のリスクとなるVPN機器のファームウェアや設定情報を診断するサービスです。 | 小規模 中規模 大規模 |
6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換 など |
| Ⅰ-3 | サイバー攻撃リスク可視化サービス | サプライチェーン全体の公開情報を、攻撃者と同じ視点で弊社のホワイトハッカーがセキュリティリスク対応状況を定量的に把握・評価するサービスです。 | 大規模 |
6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換 など |
※ クリニック:PC10台未満、 小規模:200床未満、 中規模:200-400床未満、 大規模:400床以上
関連サービス
- セキュリティ診断サービス・・・VPN機器の現状把握のためにセキュリティ診断サービスを ご提供いたします。
病院・医療機関のサイバーセキュリティ対策
セキュリティ機器の導入、エンドポイント対策
Ⅱ セキュリティ強化対策、二要素認証
医療機関のエンドポイント対策として、ファイアウォール、ウイルス対策以外にも、EDR(Endpoint Detection and Response)、XDR(Extended Detection and Response)や二要素認証などが必要となります。
医療機関がEDR、XDR、そして二要素認証を導入することは、セキュリティ体制を強化し、患者情報や医療データを守るために非常に重要です。これらの技術を組み合わせることで、脅威の検知から対応までの一貫したセキュリティ対策を実現し、サイバー攻撃に対する防御力を大幅に向上させることができます。
| タイプ | サービス | 概要 | 導入規模目安 ※ | 「医療情報システムの安全管理に関するガイドライン」該当項目 |
|---|---|---|---|---|
| Ⅱ-1 | UTM導入サービス | 小規模医療機関向けUTM(統合型セキュリティアプライアンス)で外部および内部からの脅威に対して医療情報ネットワークを保護します。 | クリニック 小規模 |
6.5. 技術的安全対策 |
| Ⅱ-2 | EDR導入サービス | 従来のエンドポイント対策では防ぎきれない脅威に対し、高セキュリティ機能を提供するEDRで組織内のエンドポイントを強化します。Emotet等のマルウェアによるランサムウェアの感染等から組織を守ります。 | クリニック 小規模 中規模 大規模 |
6.5. 技術的安全対策(5) |
| Ⅱ-3 | DDI導入サービス | セキュリティ被害につながる不正通信を捕らえ、標的型攻撃やゼロディ攻撃をネットワーク上の振る舞いから検出する製品です。 より高度な検知をすることができ、早期発見につながるセキュリティ対策です。 |
中規模 大規模 |
6.5. 技術的安全対策(6) |
| Ⅱ-4 | 二要素認証 ARCACLAVIS | 令和9年度時点で稼働している医療情報システムは、二要素認証の導入が必須となります。ARCACLAVISは弊社が開発したシングルサインオン対応の多要素認証セキュリティソリューションです。 | クリニック 小規模 中規模 大規模 |
6.5. 技術的安全対策 |
関連サービス
- ARCACLAVIS NEXT・・・医療情報システムに必要となる「二要素認証」を提供します。
- EDR導入サービス・・・サイバー攻撃を早期検知するセキュリティ対策を構築します。
病院・医療機関のサイバーセキュリティ対策
医療機関の規模に応じたSOCサービス
Ⅲ セキュリティの運用監視
医療機関がEDRの診断やSOCサービスをアウトソーシングすることは、セキュリティ対策を強化する上で非常に有効です。外部の専門知識とリソースを活用することで、効率的かつ効果的なセキュリティ管理が可能となります。
医療機関内で専門のセキュリティチームを構築・維持するには多大なコストがかかりますが、外部の専門家を利用することで、必要なサービスを必要なときに利用でき、コスト効率が向上します。また、24時間365日対応可能な外部の専門家により、インシデントの早期発見と迅速な対応が期待できます。
| タイプ | サービス | 概要 | 導入規模目安 ※ | 「医療情報システムの安全管理に関するガイドライン」該当項目 |
|---|---|---|---|---|
| Ⅲ-1 | Mini-SOCサービス forEDR | EDRライセンスと運用監視がセットになった、小規模医療機関向けのセキュリティパッケージです。(運用監視時間は平日9-17時対応) | クリニック 小規模 |
6.5. 技術的安全対策(5)(6) |
| Ⅲ-2 | Mini-SOCサービス forUTM | 小規模医療機関向けUTMの機器監視とファームウェア・バージョンアップをリモートで実施します。故障時の機器交換は、サポートセンターで受け付けのうえ対応します。 | クリニック 小規模 |
6.5. 技術的安全対策(5)(6) |
| Ⅲ-3 | Standard-SOCサービス forEDR | EDR導入済みの医療機関への24時間監視 | 中規模 大規模 |
6.5. 技術的安全対策(5)(6) |
| Ⅲ-4 | Standard-SOCサービス forDDI | DDI導入済みの医療機関への24時間監視 | 中規模 大規模 |
6.5. 技術的安全対策(5)(6) |
※ クリニック:PC10台未満、 小規模:200床未満、 中規模:200-400床未満、 大規模:400床以上
病院・医療機関のサイバーセキュリティ対策
人的セキュリティリスク教育・訓練サービス
Ⅳ 職員向け教育・訓練
医療機関におけるセキュリティトレーニングは、サイバー攻撃のリスクを減少させ、医療データを保護し、「医療情報システムの安全管理に関するガイドライン」などの法規制やガイドラインに準拠するために不可欠です。
効果的なセキュリティトレーニングプログラムを実施することで、セキュリティの意識を高めヒューマンエラーを減らしたり、フィッシング攻撃時の対応方法を学んだりなど、セキュリティ態勢を強化することができます。
| タイプ | サービス | 概要 | 導入規模目安 ※ | 「医療情報システムの安全管理に関するガイドライン」該当項目 |
|---|---|---|---|---|
| Ⅳ-1 | セキュリティ研修サービス | 物理的対策では守り切ることができないヒューマンエラーを減らすため、情報セキュリティの人的対策として、セキュリティコンサルタントによる研修サービスをご提供いたします。 | クリニック 小規模 中規模 大規模 |
6.6. 人的安全対策 |
| Ⅳ-2 | 標的型メール訓練サービス | 標的型メール訓練を実際に体験することで、1人1人のセキュリティ意識を向上させ、大規模な2次被害を防ぐための対処方法を再確認できます。 | クリニック 小規模 中規模 大規模 |
6.6. 人的安全対策 |
※ クリニック:PC10台未満、 小規模:200床未満、 中規模:200-400床未満、 大規模:400床以上
関連サービス
- セキュリティ研修サービス・・・セキュリティコンサルタントによる研修サービスをご提供いたします。
病院・医療機関のサイバーセキュリティ対策
セキュリティリスクの移転ならびに補償
Ⅴ サイバーセキュリティ保険
サイバーインシデント発生時、データ漏洩に関しての顧客への補償費用や、インシデントの原因を特定し影響を評価するためのフォレンジック調査費用などが必要になります。
医療機関は、サイバーインシデント発生時のリスクを軽減するために、サイバー保険(Cyber Insurance)を活用することができます。サイバー保険は、サイバー攻撃やデータ漏洩などのインシデントによって発生する損害やコストをカバーするための保険です。
| タイプ | サービス | 概要 | 導入規模目安 ※ | 「医療情報システムの安全管理に関するガイドライン」該当項目 |
|---|---|---|---|---|
| Ⅴ-1 | サイバーセキュリティ保険 | セキュリティリスクを移転し、万が一の補償を保険会社から享受できるサービスです。 ※弊社グループの生損保代理店より個別提案 |
クリニック 小規模 中規模 大規模 |
※インシデントへの備え |
※ クリニック:PC10台未満、 小規模:200床未満、 中規模:200-400床未満、 大規模:400床以上
病院・医療機関のサイバーセキュリティ対策
専任SEによるセキュリティインシデント対応
Ⅵ インシデントレスポンス119サービス
サイバーインシデント発生時、インシデントの原因を特定し影響を評価するためのフォレンジック調査が必要となります。
専門エンジニアによる、調査、復旧対策など、状況に合わせてご提案させていただきます。
| タイプ | サービス | 概要 | 導入規模目安 ※ | ガイドライン該当項目 |
|---|---|---|---|---|
| Ⅵ-1 | Ryobiインシデントレスポンス119サービス | インシデントが発生した際に、専門エンジニアがフォレンジック調査を実施し、復旧対策をご提案します。 ※都度御見積となります。 |
クリニック 小規模 中規模 大規模 |
6.10 災害、サイバー攻撃等の非常時の対応 (4) 非常時に備えたセキュリティ体制の整備 |
※ クリニック:PC10台未満、 小規模:200床未満、 中規模:200-400床未満、 大規模:400床以上
関連サービス
- Ryobiインシデントレスポンス支援 119サービス・・・被害状況の調査から復旧対応に至るまで、トータル支援を実施させていただきます。