身代金要求型コンピュータウイルス、通称ランサムウェアや不正アクセスにより業務に関わる重要なシステムが停止し、自社の事業に多大な影響が出た事例が連日のように報じられています。
また、近年の事業継続計画(BCP)の考え方においても、自社の重要システムが利用不能にならないために何ができるか、そして被害を受けた場合に如何にして復旧するかが重要な要素として挙げられます。
ランサムウェア被害とその対策については、当コラムサイトでも度々取り上げてきましたが、今回の記事では、ランサムウェアや不正アクセス対策について、「実際問題どうすれば防げるのか」を考え、当社の取り組みについてご紹介したいと思います。
被害の事例
身代金要求型コンピュータウイルス、通称ランサムウェアの被害は、それ以前からもその被害が度々報じられていましたが、2021年10月31日徳島県つるぎ町立半田病院(一般病床:120床)、翌年2022年10月31日大阪急性期・総合医療センターで発生し、報道でも大きく取り上げられたことでその脅威がより広く知られることとなりました。
両病院ともランサムウェアにより電子カルテを始めとする病院情報システムが暗号化され、約2か月に渡り診療に影響を与えることとなりました。
どちらも事例においても、ランサムウェアに感染した原因は確定できていないものの、インターネットに接続されたVPNルータの脆弱性を突かれ、不正アクセスを試みた者(ハッカー)がシステムに侵入し、病院情報システムをウイルスに感染させたものと推測されています。
ランサムウェアに感染する経路や攻撃手法は様々ですが、このようにネットワーク機器の脆弱性を突いた攻撃から不正アクセスを受けて感染する事例はその中でも代表的な手法と考えられます。
不正アクセスを防ぐための対策
このような不正アクセスを防ぐために、我々はどのような対策を講じればよいのでしょうか?
ネットワーク上を流れる情報を制御するネットワーク機器やプログラムの稼働やデータを蓄積するサーバ機器に於いても、その中身では様々なソフトウェアが搭載されており、不具合も内在しています。
このプログラムの不具合を突いて、攻撃者(ハッカー)は組織のシステムへの侵入を試みますが、そのプログラムの不具合(脆弱性)の情報は、ネットワーク機器やソフトウェアのメーカーから脆弱性情報と併せて、その対策についても公開されることが多いです。
具体的には、新しいソフトウェアを公開し、そのソフトウェアに更新することで不具合が修正される。また、必要な機能を無効にすることなどでその不具合を回避することができる場合があります。
このような脆弱性やその回避策に関する情報は、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC、https://www.jpcert.or.jp/)が情報を集約し、提供しています。
世の中には、こういった回避策や修正プログラムが世の中に公開される前に攻撃を仕掛けてくる「ゼロデイ攻撃」と呼ばれる手法もあるので、脆弱性を突いた不正アクセスをゼロにすることは不可能と思われますが、自組織で利用しているネットワーク機器やサーバ機器の型番、稼働するソフトウェアのバージョンと、日々発表される脆弱性情報を常に突合し、必要な対策を適宜迅速に行うことができれば、脆弱性を突いた不正アクセスの被害を受ける可能性は下げることができると考えられるわけです。
しかしながら、上記のような対応は管理に非常に手間がかかり、漏れなく実施することはどの組織でも容易に実現できることではありません。
ただやればいいという単純なものではなく、脆弱性の管理体制、管理プロセスを定めることが重要です。
弊社での現状の対応
先述した脆弱性対策について、弊社でどのような形で対応しているかを具体的にお伝えします。
(1)ネットワーク機器/サーバ機器の情報の集約
弊社では自社データセンターで稼働する機器や、顧客に納めて弊社にて保守を行う機器、稼働するソフトウェアの種別、バージョンを全てデータベースに蓄積しています。
機器やソフトウェアは入れ替わりや更新が発生するため、その都度、情報更新を行っています。
(2)脆弱性情報の収集
弊社では先述したJPCERT/CCのほか、セコム本社が発信する脆弱性情報など、複数の情報元から脆弱性情報を日々取得し、(1)のデータベース上にある情報と突合し、発見された脆弱性に該当する機器やソフトウェアがあるかどうかを確認しています。
(3)発見された脆弱性への対応の検討
発見された脆弱性に於いて、ソフトウェアの更新や設定の変更などの対応が必要かどうかは、各システムごとに判断が必要となるため、脆弱性情報と該当のシステムのリストを提示し、社内で対応が必要か判断を行うフェーズに移ります。
該当の機器やソフトウェアに脆弱性が発見されても、ネットワーク構成上、急いで対応する必要が無かったり、問題の見つかった機能を利用していない場合には、対策が不要な場合もあるためです。
いずれの場合でも、個別のシステムに於いて、1つ1つ、速やかな対応が必要/不必要、また後日の対応が必要/対応不要などの判断を行う必要があります。
(4)対策が必要な場合
ソフトウェアの更新や設定変更が必要な場合は、システムによって手順や方法が違う場合があり、個別に手順を作成する必要があります。
また、その作業を行う際には、システムの停止を伴う場合が多いため、顧客とのサービス停止日時の調整も必要になります。
それらの準備や調整を行ったうえで、機器・ソフトウェアの更新や設定を実施しますが、システムの変更を行った際には、(1)の情報を更新することも必要となります。
先述したように一連の作業はすべて弊社エンジニアによる手作業で実施しており、非常に手間がかかることや、将来的に対応する顧客数が今よりも大きく増えた場合に対応するスピードに限界があることが大きな課題と考えています。
セキュリティ対策は素早い判断と対応が必要であることは言うまでもありませんので、改善が必要です。
自動化とそのサービス化の検討
前章で説明した対応については、修正プログラムの適用を自動化したり、対象となるシステムを標準化することによって、労力を軽減し、確実に実施できるようすることが重要な課題となるため、弊社では自動化の検討を始めています。
ネットワーク機器の型番や稼働しているソフトウェアの情報、設定情報はインベントリ情報と言われ、自動的に収集することが可能です。
また、脆弱性情報の収集は特定のWebサイトやセコム本社からの情報を収集しているとしましたが、こちらについても自動化することが可能であり、現在その仕様検討を行っているところです。
こうして収集したインベントリ情報と脆弱性情報との突合の自動化についてはまだ構想段階であり、具体的な機能は実現できていません。
ですが、弊社内の運用の最適化を実現することと併せて、それをサービス化して安価に提供することができれば、不正アクセスから多くの組織を守ることが期待でき、より安全で安心な社会を作ることができると思われるため、早期のサービス化を進めております。サービス化が実現した際には、改めてこちらのコラム記事でもご紹介できればと思います。
