令和3年10月31日、徳島県つるぎ町立半田病院にてコンピュータウィルス感染による重大インシデントが発生しました。
当事案について、半田病院は今年6月に「徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書について」を公表しています。
報告書は2つあり、1つ目は調査報告書、2つ目はその技術編です。
調査報告書に書かれていることは、病院だけでなく零細・中小企業を含めた様々な事業者のサイバーセキュリティ問題の縮図と言えます。
半田病院は当事案を展開することで「他組織等における対策の一助となれば幸い」としているため、当ブログにて取り上げました。
調査報告書は技術編を合わせると140ページとボリュームがあり、その理解には技術的な知識が必要となります。
調査報告書のまとめ(P40-41)がサマリとなっておりますので、時間が無い方はこちらをお読みください。
私は調査報告書から、今後のサイバーセキュリティ対策として次の3つが必要と考えます。
- サイバーセキュリティの専門家を必置化
- サイバーセキュリティの監査を義務化
- サイバーセキュリティに関する経営者の責任を明確化
それぞれを以下に説明します。
サイバーセキュリティの専門家を必置化
今回の事案は、VPNの脆弱性を起因としたサイバー攻撃ですが、半田病院のシステムは極めて低いセキュリティレベルでした。
これについては日経クロステックの記事に整理されています。(以下抜粋)
背景としては、病院内に閉じたネットワークであったこと、現行環境に依存する業務システムの稼働を考慮していたとありますが、通常では許容されない状況と言えます。
情報システム担当1名でシステムを運用していたとあり、サイバーセキュリティにまで手が回らなかったことが推察されます。
ただし、サイバーセキュリティ対策の不備は、全て基本的な活動や設定が出来ていないだけとも言えます。
一般的なサイバーセキュリティの知見・経験を持つ方がシステムを確認すれば事前に対策することが出来たものばかりです。
ただし、脆弱性情報の監視や日常のシステム変更におけるセキュリティレベルの維持および職員への情報セキュリティ啓発・教育などは定常的な活動が求められます。
これを実施するため、ある一定規模の事業者にはサイバーセキュリティの専門家を必置化することが必要です。
専門家としては、数年程度の実務経験を持ち、情報処理安全確保支援士などのセキュリティ系資格を持つ方が適任です。
サイバーセキュリティの監査を義務化
サイバーセキュリティの監査にて継続的にセキュリティレベルが維持されているかを確認することが必要です。
業界ごとにサイバーセキュリティの監査の法規化は進んでいますが、病院や零細・中小企業においては任意という状況です。
過去にサイバー攻撃が発生していない状況においては、サイバーセキュリティ対策の優先度は低くなり形骸化します。
サイバーセキュリティの監査を義務化することで、セキュリティレベルの維持を確実にすることができます。
監査人としては、サイバーセキュリティの知識を持ち、システム監査技術者、CISA(公認情報システムセキュリティ監査人)などの監査系資格を持つ方が適任です。
サイバーセキュリティに関する経営者の責任を明確化
中小企業の情報セキュリティ経営ガイドラインでは経営者へ
- 情報セキュリティ対策は、経営に大きな影響を与える
- 対策の不備により経営者が法的・道義的責任を問われる
- 組織として対策するために担当者へ指示することが必要である
などが示されています。
重要インフラ事業者などではサイバーセキュリティ対策の不備に関して、経営者の賠償責任なども検討されています。
病院など人命に関わる事業者においては、同様に経営者の責任を明確化してトップダウンで対策を進めることが必要と言えます。
調査報告書では情報システム担当1名でシステムを運用していたとのこと、システムのサイバーセキュリティ対策を経営者が軽視していることが明らかです。
経済産業省、厚生労働省の資料を読むと、近年、病院へのサイバー攻撃が続いています。
いずれも、サイバーセキュリティに関する基本的な活動や設定が出来ていないことに起因しています。
事前にこれらを対策しておくことで、ほとんどのサイバー攻撃は防げたと言えます。
一方、サイバー攻撃の事後対応は、フォレンジック作業やSIRT活動など、高度かつ専門的な対応が必須となります。
更には、業務停止による機会損失や風評被害、監督官庁からの指導など、非常に大きな経営問題に波及します。
しかし、サイバーセキュリティ対策は事業者が自主的にコストを割いて実施することが難しい面もあります。
調査報告書でも、病院の予算は利益改善の調整であり、厳しい経営環境から、過去に発生していないリスクのリソース確保は困難とあります。
このことからも、サイバーセキュリティの専門家の必置化や監査の義務化は法規制として一律に実施する必要があると言えます。
1件のコメント