全3897文字

 さらに復旧作業が長引いた要因の1つとして、サイバー攻撃に備える「サイバーBCP(事業継続計画)」を策定していなかったことが第3の反省点という。サイバー攻撃発覚後、ベンター2社やネットワークに詳しい秋田県産業技術センターの専門家も交え、サイバー攻撃対策を講じながら、手探りで復旧作業を進めている。

 復旧長期化のもう1つの要因は「サイバー攻撃を想定しないバックアップのあり方」(船木理事)だった。これが第4の反省点という。同センターはサーバーの物理的な故障を想定し、6台あるサーバーのうち1台をバックアップサーバーとしていた。バックアップサーバーもランサムウエアに感染したため、バックアップデータにアクセスできなくなった。「バックアップをクラウドでオフサイト保管するなどの対策を実施すべきだった」(船木理事)。

研修用パソコンで業務を再開

 同センターはサイバー攻撃発覚から2日後の4日14日に、本来の業務用ネットワークを遮断したままの状態で、業務を暫定的に再開した。

 幸いなことに同センターには、攻撃があった時点でネットワークに接続されていなかった研修用パソコンが25台あった。研修室を臨時の仮設オフィスとし、道路台帳業務や試験業務で使用する専用ソフトを研修用パソコンにインストールして業務を再開した。

 ネットワークについては、Web会議用に確保していたインターネット回線を使用した。同センターは新型コロナウイルスの感染拡大に伴いWeb会議システムを導入したが、自治体などとつながる本来の業務用ネットワークではセキュリティー上の理由によりWeb会議が利用できなかった。そこでWeb会議用に回線を引いていた。

 本来の業務用ネットワークは5月上旬までに再開させた。ネットワークの再開前に、UTMを有効にした。

 6台のサーバーは全て暗号化されていたが、1台のみ一部のデータを読み出せた。このデータを外付けハードディスクに移してから、6台とも初期化した。

 各職員が使用していた業務用パソコンに関しては、ランサムウエアの被害を受けていないとみられるデータファイルを外付けハードディスクに移した。この作業に約1カ月を要した。その後、業務用パソコンは初期化してセキュリティーソフトなどをインストールし直した。これでようやく職員は自席でパソコンを使えるようになった。

 仮設オフィスでは研修用パソコンの内蔵ハードディスクにデータを保存していたが、現在は作業中や作業完了後のデータをサーバーに保存する運用に戻した。ただしバックアップサーバーについては「様々な選択肢からふさわしいバックアップのやり方を検討中だ」(船木理事)。

 職員が使用するメールについては、メール本文中のURLリンクや添付ファイルをクラウド上で取り除く「メール無害化サービス」を導入したうえで、2022年6月中に復旧させる計画だ。それまでは暫定的に部署単位で作成したメールアドレスを業務で使用している。

 復旧作業が一段落したら、過去データの復元に取り組む方針だ。同センターの開設は1968年。過去の業務データの中で重要なものは紙で保管している。また県や自治体にはデータをCDで納品しており、センターには納品CDのコピーもある。紙やCDのデータ、パソコンから外付けハードディスクに移行したデータを効率的に取り込む方法を検討する。

 「データの復元なども考えると、2022年後半までは影響が続きそうだ」と船木理事は語る。業務システムのバックアップを検討する際には、サイバー攻撃への備えが不可欠だ。それが今回の事件における、最大の教訓と言えるだろう。