徳島県のつるぎ町立半田病院は2022年6月16日、2021年10月に発生したランサムウエア(身代金要求型ウイルス)被害について有識者会議がまとめた調査報告書を一般公開した。報告書では、セキュリティー面で危険な運用が続いていたことが明らかになった。同時に、そうした実態を知りながら適切に支援しなかったとして同院に関連するベンダーを批判。そのうえで課題や今後取るべき対策などを示した。
報告書を読み込んだセキュリティー専門家はどう分析したのか。イー・ガーディアンの子会社、EGセキュアソリューションズの徳丸浩取締役CTO(最高技術責任者)は「日本のセキュリティー実態の縮図だ」と話す。報告書には日本の組織が共通して抱える3つのセキュリティー上の課題が読み解けるからだという。
保守フェーズの責任分界点が曖昧
1つ目の課題は、運用フェーズのセキュリティーに関して、ユーザーとベンダーの責任範囲が曖昧な点だ。調査報告書によれば、半田病院はVPN(仮想私設網)装置を設置した徳島市のベンダー、スタンシステムに保守料を支払っていたものの、運用保守の契約を結んでいなかった。一見不可解だが、要は何に対する保守料かを定めていなかったのだ。
ベンダー側はVPN装置のハードウエア保守料金と捉え、脆弱性の修正などの作業は対象外と考えていた。結果として、VPN装置の運用について誰が責任を持つのかが曖昧になっており、2019年に公表された同装置の脆弱性を放置する一因となった。
責任分界点が曖昧という課題は、半田病院に限らず様々な日本の組織で見られると徳丸氏は指摘する。さらに最近はその傾向に拍車がかかっているという。どういうことか。
「事業部門が主導するシステム開発が増えているが、事業部門は発注に慣れていないため、事業に直結しないセキュリティーの要件をベンダーに伝えるのを忘れがちだ」(徳丸氏)。特に運用フェーズのセキュリティーに関する要件は漏れやすく、サイバー被害が拡大する「隙」を生み出す原因になっているとする。
2つ目の課題は、稼働中のシステムをアップデートすることに消極的な点だ。調査報告書によれば、半田病院はVPN装置だけでなく、LAN内部の端末の脆弱性も修正していなかった。グループポリシーの設定でWindowsアップデートを止めており、Windows 10で判明済みの脆弱性が全てそのままになっていた。
電子カルテのように基幹業務を支え、常時稼働が求められるシステムに対しては、安定して動いているときは極力触りたくないという意識が働きがちだ。確率はそれほど高くなくても、システム停止のリスクをはらむアップデートを尻込みしやすい。
ランサムウエアがアップデートへの消極姿勢に見直し迫る
消極的な姿勢はベンダー側にも見られる。万が一システムが停止すれば責任を追及されかねないとの判断が働きやすいためだ。
半田病院のケースでは、電子カルテシステムやVPN装置、ネットワークといった機器やソフトごとに管轄するベンダーが異なっていた。それもあって、スタンシステムは「当社が自発的にVPN装置やサーバーの設定を変更したために電子カルテやネットワークが動かなくなったら責任を問われる」と日経クロステックの取材に回答している。
EGセキュアソリューションズの徳丸氏によれば、アップデートに消極的な姿勢は多くのユーザーや、システム運用を受託するベンダーにも同じように見られるという。「ユーザーが責任を取ると明言しても、パッチ(修正プログラム)の適用を渋るベンダーさえある」と徳丸氏はあきれる。
常時稼働が求められるためアップデートしにくいというやむを得ない面はあったが、結果的に半田病院は約2カ月にわたり電子カルテシステムが止まり、一部の診療を制限するなど事業継続の観点で大きな被害を受けた。ランサムウエア攻撃が激しさを増すなかでアップデートに消極的な企業や組織はその姿勢を早急に見直す必要がある。
「閉域網だからセキュリティー上、安心だ」という思い込み。これが3つ目の課題だ。調査報告書は「閉域網神話」と断じている。
徳丸氏は「所在地や規模、業種を問わず、こう思い込む組織は存在する」と指摘する。ネットワークや端末を全て信用できないと想定してセキュリティー対策を講じる「ゼロトラスト」に移行する先進企業もある一方、閉域網神話にとらわれてLANの内側は安全とみなし、従来通りのセキュリティー水準のままの組織が少なからずある。
「半田病院の被害は決して特殊なことではない。セキュリティー水準がさほど変わらずいつ被害を受けてもおかしくない企業や組織が幾つも存在する」。日本の現状を徳丸氏はそう分析する。
