令和7年度版サイバーセキュリティ対策チェックリスト

３月いっぱいに対応しなければばらない令和６年度サイバーセキュリティ対策チェックリスト。
もう対応してありますよね。

もう頑張った．．．と遠い目をしているあなた。

令和７年度版の検討が始まってますよ？

何が変わるのか？（追加されるのか）

令和7年度版サイバーセキュリティ対策チェックリストは、まだ決定ではないようですが、厚生労働省のサイトには案が載っています。

これを見てみると

• パスワードの桁数の規定、使い回しの禁止
• USBストレージ等の外部接続機器に対しての接続制限
• 二要素認証の実装（令和９年度実装に向けた対応）
• 運用管理規程等の整備

という感じですね。

これらの項目が追加される方向で検討されています。

二要素認証は令和９年ということなので、それまでの間は気にしなくてもいい感じになるでしょうけど、それ以外は対応が必要です。

特に面倒そうなのが、「パスワード」。
より強力なパスワードを設定することが求められそうで、例えば

〈強固なパスワードとは〉
‒長く、複雑で、推測困難
‒13 桁以上（桁数が多いほど、機械的な総当たりでの解析が困難）
‒英数字、大文字・小文字、記号が混在（組み合わせが多いほど解析が困難）
‒ランダムな文字列（単語等の組み合わせによる解析を回避）
‒複数の機器や外部サービス等で、同一のパスワードを設定しない

〈危険なパスワード使い回し例〉
‒施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
‒事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
‒出荷時のパスワードから変更を行っ

というような指摘があります。

いや。分かるんだけどね。
面倒だよね。

「運用規定の整備」も面倒ではあるけど、規定を作って周知徹底を図ればいいので、力仕事ではあるから対応できるところも多いと思いますが、パスワードは常に意識しないといけないので、ちょっと大変かも。

いや。
規定も作っただけじゃダメなんですよ？
それに沿って運用していかないと。

まとめ

とは言っても、まだ決定ではなさそうなので、準備する余裕はありそうです。

病院と違って、薬局ではUSBによるデータの受け渡しも必要ないと思いますので、USB関係も気にしなくても大丈夫でしょう。
やっぱりパスワードかなぁ．．．

そう言えば、昔。
パスワードを一括で管理するWebサービスを考えたとことがあったけど、結局みんな自分の記憶やExcelとかで管理しているんだろうな。