ベンダー任せではない
当事者意識を持ったセキュリティ対策を

2023年1月22日、日本経済新聞で「サイバー攻撃、日本に矛先 攻撃数3年で倍増 対応丸投げ、脆弱性放置」という見出しの記事が掲載された。記事の中では、日本はサイバー攻撃への対策が遅いということと、背景として、企業はIT開発のベンダーに対策を丸投げしていることが多く、サイバー防衛への当事者意識が希薄になりがちなことがあると書かれていた。こうした事態が浮き彫りになったきっかけの一つとして、2021年10月にサイバー攻撃が発生した病院でのランサムウェア被害の事例を振り返り、セキュリティ対策に必要なポイントを探りたい。

早稲田大学グローバルエデュケーションセンター 非常勤講師

日立ソリューションズ
セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 Security CoEセンタ長
シニアエバンジェリスト

扇 健一

人員不足や不明瞭な責任範囲など
さまざまなことが要因に

 サイバー攻撃に遭ったある病院では、VPN機器の脆弱性を突かれてランサムウェアに感染した可能性が高いことが有識者調査で判明している。そのほかにも、セキュリティ対策に関しておおよそ以下のような問題があったようだ。

(1)情報システム部門が1人体制でセキュリティ運用に手が回っていなかった
(2)VPN機器を販売・導入したベンダーが脆弱性の存在を把握していたものの、病院に情報提供していなかった
(3)電子カルテシステムの提供ベンダーと当該システム周りのセキュリティ面を担当したベンダーとの間で責任範囲が不明瞭
(4)電子カルテシステムが閉域網の環境にあることを理由に、ベンダーがセキュリティ対策を怠っていた

セキュリティ対策や意識に変革を

 筆者自身、10年以上前から複数の病院にセキュリティ対策を提案してきたが、残念ながらセキュリティに対する意識は当時からあまり変わっていないように思う。サイバー攻撃に遭い、システムに障害が発生すると、手術停止や救急患者の受付停止といった命に関わる事態が起こり得るにもかかわらず、セキュリティ対策が遅れている、予算を確保していない、セキュリティ対策を検討する人がいない、といった状況が続いているのだ。病院が患者の命・個人情報を守る立場であることを改めて確認した上で、セキュリティを情報システム部門やベンダーに任せっきりにするのではなく、上層部自ら予算を確保する、「Chief Information Security Officer」(CISO)を務める、セキュリティ推進部門を作るなどして、自分ごととして行動していただきたい。

関連企業のセキュリティリテラシーも重要

 本来、ITシステムとセキュリティは切っても切り離せないものだ。例えば、機器やソフトウェア、業務アプリケーションは、IDとパスワードを設定して利用するが、ハッカーのスキルを用いれば6桁など桁数の短い数字のパスワードはあっという間に破られてしまう。そのため、最近では、英大文字・小文字・数字を組み合わせて8文字以上が必須など、パスワード規則の見直しを行っているサービスが多い。このように、セキュリティはシステム構築時に一度設定したら終わりではなく、随時見直す必要があるものだ。システム構築・運用などを依頼する場合には、ベンダーがセキュリティの知識やスキルを持っているかも確認してほしい。

 また、顧客への被害を防ぎ、自社の信用を失わないように、それらを導入する企業でもセキュリティ意識の向上が必要だ。

人手&スキル不足には外部サービスを

 各組織が自分ごととしてセキュリティを推進する意識を共有できたとしても、組織の強化やスキルの向上には時間がかかる。そのような場合は、外部のサービスを活用することも一つの手段だ。例えば、セキュリティコンサルテーション、セキュリティ診断、セキュリティの常態管理を行うセキュリティポスチャマネジメントなどのサービスにより、サイバー攻撃に向けた事前対策の強化が可能だ。概念実証である「Proof Of Concept」(PoC)などの検証プロセスや、前述したサービスのトライアル版などを活用し、まずは実際に試してみるのが良いだろう。参考として、下記にサービスの概要を記しておく。

●セキュリティコンサルテーション
・現状のセキュリティ対策の分析・評価
・セキュリティ対策案の策定

●セキュリティ診断
・対象となるシステムの脆弱性を診断
・攻撃者の侵入を想定して脆弱性を診断

●セキュリティポスチャマネジメント
・端末やクラウド(IaaS・PaaS・SaaS)のセキュリティレベルの維持・管理を支援

想定外の事象への対応力が
社会インフラや企業を守る

 万が一サイバー攻撃の被害が発生しても、事業を継続できることが重要だ。サイバー攻撃を予測し、被害が発生してもダメージを最小化し、回復力を高め、事業継続力を強化することをまとめた概念である「サイバーレジリエンス」が問われるのだ。NIST(米国国立標準技術研究所)が発行しているガイドライン「SP800-160 Vol.2」※では、企業が備えるべきサイバーレジリエンスの能力として、予測力、抵抗力、回復力、適応力の四つを定義している。今回紹介したランサムウェア被害の例に限らず、サイバー攻撃は脆弱性を突いて侵入してくるケースが多い。そのため、まずは、脆弱性の把握と事前対策により、予測力を高めるべきであろう。ちなみに、これらは情報システム担当者への意識調査でも最も重要な取り組みとして認識されている。この取り組みが実施できていれば、自社の弱点を確認し、万が一の際の被害を小さくする抵抗力、事業の復旧を早める回復力、従業員のセキュリティ対応力を強化する適応力の向上に取り組んでいくのが良いだろう。

 病院をはじめ、サプライチェーンや社会への影響を考えた場合、重要な役割を担っている企業は多い。政府が定める重要インフラ分野には「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス」「医療」「水道」「物流」「化学」「クレジット」「石油」と幅広い業種が該当する。これらに関わるサプライチェーン企業には、上層部を含めた組織全体でセキュリティ意識向上に取り組んでいただきたい。

※NIST SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems : A Systems Security Engineering Approach