情報セキュリティ対策において、残念ながら「基本対策はコレ！」というモノはありません。個社ごと現状が異なるので、とるべき対策は異なります。そう答えられるとがっかりかもしれませんが、ちょっと落ち着いてリスクを整理することで、簡単にざっくりとした方向性を見出すことはできます。守りたいモノをはっきりさせて、何をリスクと見るかを考えることが大事です。セキュリティに100%はありませんので、満点は目指さず、リスクの高いところから潰していく。専門家に頼らずとも、これを継続することで、グンと安全性は高まります。

ここで、とある小規模病院様の一例をご紹介いたします。

①守りたいモノをピックアップ

• 最低限Aを守らないと業務が遂行できないため、今回守るモノはAとする。(Bについては最悪諦めがつく)

②考え得るリスクを整理

• Bのメール・インターネット経由でA.Bともにウイルス感染する可能性がある
• A.Bの機器類は無線LAN接続しているが不正接続等無いか？
• Aの電子カルテ、診療報酬請求システムもインターネット接続するがウイルス感染しないか？

③ 対策すべきリスクを決定

• 発生確率が高く、Aにも影響すると業務が遂行できなくなるため、対策を行う。
• 安全な設定ができていれば発生確率は低い。念のために設定を確認する。
• メーカーが仕組みを提供しているため、第三者がそこに対策を行うのは難しい。

④ 事前対策

• A.BのNW環境を分離する。Bに被害があってもAに影響を及ぼさないようにする。

⑤ 事後対策

• A.Bともに最低限のウイルス対策ソフトは導入しておく。
• メーカー推奨のウイルス対策ソフトは導入しておく。