本文へ移動

医療機関で管理者アカウントを共有してはいけない理由。被害実例から考える権限管理

医療情報セキュリティ管理者権限共有アカウントランサムウェアMFA監査ログ医療DX
危ない運用起きやすいこと見直し方
管理者IDを複数人で共有する誰が操作したか追えず、退職者や旧委託先が使い続ける可能性が残る個人別アカウントと役割別権限に分ける
管理者権限で普段使いするメール、Web閲覧、通常作業から侵害されたときに被害が広がる通常アカウントと管理用アカウントを分離する
同じパスワードを複数システムで使う1つの漏えいが電子カルテ、会計、ファイル共有、バックアップへ横展開するシステムごとに異なる長いパスフレーズとMFAを使う
保守用アカウントを常時開放する委託先経由の侵入や夜間の不正操作に気づきにくい作業時だけ有効化し、接続元、承認、ログを残す
バックアップ管理も同じ権限で触れる攻撃者が本番データとバックアップを同時に暗号化・削除できるバックアップ権限を分離し、改ざんできない保存先を使う
事例権限・認証まわりの教訓医療機関への示唆
大阪急性期・総合医療センターRDP接続、管理者パスワード共通化、横展開のしやすさが被害拡大に関係した閉域網や委託先接続でも、管理者認証と接続経路を厳格に管理する
半田病院VPN/RDPなど外部接続、バックアップ分離、ログ保全、BCPが重要論点になった侵入を前提に、止まった後の代替運用と復旧手順を用意する
岡山県精神科医療センター管理者権限の常態化、短いパスワード、脆弱な部門システムが全体リスクになる電子カルテだけでなく、部門システム・医療機器・保守契約まで棚卸しする
Change Healthcare盗まれた認証情報とMFA未設定が、広範な医療支払・請求業務の停止につながった共有ID禁止だけでなく、MFA、遠隔アクセス制御、異常検知を必須化する
段階確認すること目標
1. 棚卸し管理者権限、保守用ID、共有ID、退職者ID、旧ベンダーIDを一覧化する誰が使える鍵が残っているか見える状態にする
2. 分離通常アカウントと管理用アカウントを分ける日常業務の侵害が管理者権限に直結しない状態にする
3. 個人化共有IDをやめ、担当者ごとのIDに置き換える操作ログと人を結びつける
4. 強化MFA、長いパスフレーズ、接続元制限、作業時間制限を入れる盗まれたIDだけでは入れない状態にする
5. 監査管理者操作、ログイン失敗、権限変更、バックアップ操作を定期確認する異常に早く気づける状態にする
支援領域設計すること
権限設計職種、拠点、役割ごとに見える情報と操作できる範囲を分ける
監査ログ閲覧、更新、承認、連携、エラー、管理者操作を追えるようにする
外部連携API、CSV、Excel、手動確認のどこでつなぐかを整理する
保守運用ベンダー作業、アクセスコード、作業承認、ログ確認を設計する
BCPシステム停止時の代替導線、復旧優先順位、手動確認フローを整理する