2022年10月31日にランサムウェアの被害を受けた大阪急性期・総合医療センター(以下「同センター」とする)ですが、2023年3月28日に同センターのWebサイトに「情報セキュリティインシデント調査委員会報告書について」が公開されました。
今回はその報告書を読んで感じたことに触れてみようと思います。
外部との接続も含めた施設全体を俯瞰したリスク分析が重要
報告書を読み終えての第一印象は
「半田病院から出された報告書(*)にて注意喚起されていたこととほぼ同じ内容が書かれており、どの医療機関でも発生しかねない、と強く言っている。」
でした。
(*)徳島県つるぎ町立半田病院において、2021年10月31日にランサムウェアの被害を受け、2022年6月有識者会議にてまとめられた調査報告書
半田病院がランサムウェアに被害にあった技術的要因の一つが、VPN装置のファームウェアの管理がされておらず、その脆弱性から不正侵入されたことでした。
同センターの被害も同様にVPN装置のファームウェアの脆弱性から不正侵入されており、半田病院と同じ要因によるものでした。
ただし、このVPN装置は同センターに設置されていたものではなく、通信回線に常時接続された給食事業者に設置されていたものでした。
同センターの例ではサプライチェーンの事業者を介して攻撃を受けていることから、製造業等と同様に現在の医療サービスも様々な事業者や組織がネットワークでつながれ、分業体制でサービスが提供されていることを改めて認識させられました。
つまり、同センターの事例は、サイバーセキュリティ対策は自組織の各種機器類だけではなく、外部と接続された先にどのような事業者がいるのか、どのように接続しているのか、接続されているネットワーク機器の脆弱性の管理は誰がどのように実施しているのかなど、広範囲に渡って考慮する必要があることを示しています。
「閉域網神話」はもう過去の話!?
報告書14ページに
「4.2 発生要因と再発防止策 表 2 インシデント発生の中核的要因と周辺的要因の整理」
があり、ポイントを示しています。
その主なものを挙げてみます。
■組織的な中核的要因
- 電子カルテベンダーを始めとしたベンダーと医療機関の責任分界点が、契約を含む事前の取り決めがなく不明瞭であった。
- 情報資産の棚卸と把握が出来ていなかった。
↓
責任分界点が曖昧なことは、半田病院の報告書でも指摘されていました。
またサイバーセキュリティ対策の最も基本となる情報資産の把握がされていないということもこの病院に限ったことではありません。
■人的な中核的な要因
- 病院おけるセキュリティに関する知識と人材の不足。
- ベンダーにおけるセキュリティの意識、知識、インシデント対応の経験や準備の不足。
↓
病院におけるセキュリティに関する人材不足は致し方ない(では済まされませんが)ですが、ベンダーにおけるセキュリティの意識、知識不足は非常に大きな問題だと思います。
対応は難しいかもしれませんが、施設全体を俯瞰してリスク分析ができるサイバーセキュリティの知識を持った外部の人材を投入し、定期的に監査を行うことが現実的です。
■技術的な中核的な要因
- 管理者権限で運用し、管理者や利用者のパスワード運用が脆弱(初期パスワード、最小桁数設定無し、パスワード共通化など)であった。
↓
「医療機関は閉域網だからセキュリティは問題ない」といった誤った閉域網神話から来るものなのかもしれませんが、ユーザー全てに管理者権限を与えていたことは正直驚きました。
「ウイルスは侵入するかもしれない」といった、リスクをある程度許容する対策をとる必要があります。
外部有識者の有効活用が現実的な解決の一つ!
報告書24、25ページの
「5.1.3. 病院の情報システム概要と管理体制」
の記述の中に、いくつかの課題が書かれていました。
いくつか気になった点を挙げます。
(1) 外部接続管理
- 外部接続の状況の把握がされていない。
- VPN機器などの脆弱性管理やファームウェアアップデートの役割分担が明確。
(2) 情報資産管理
- 情報資産の設置状況を把握していなかった。
- 情報資産の脆弱性管理について把握していなかった。
(3) バックアップ
- 正しく仕様通りにバックアップが取得できているか、確認できていなかった。
繰り返しになりますが、サイバーセキュリティの基本は、自組織の施設(情報資産、ネットワークなど)が現状どのようになっていて、リスクはどこにあるのか、について全体を俯瞰して見る必要があり、その元となる資料が非常に重要になります。
様々な事業者や他の医療機関とネットワークで接続される状況は、ネットワークをより複雑化する要因であり、医療機関だけでその把握をすることが困難でもあることは容易に想像できます。
またランサムウェアの被害が多発している状況から、バックアップに関するリスクの検証や現状の状況の把握についても、最も優先されることだと考えます。
私が今まで携わった医療機関における情報の管理やリスク分析は十分とは言えませんでした。また、医療機関単独だけで対策を進めることやこれまではこれで十分と思って行われてきたサイバーセキュリティ対策では限界があると感じています。
私としては、自組織外のサイバーセキュリティに関する十分な知識を持った人材による現状把握、そしてリスク分析を行った上で、優先順位をつけたセキュリティ対策を行うことが現実的であり、最も効率的なやり方だと確信しています。
ランサムウェアをはじめとするサイバー攻撃に合わないためにどのようなことが自分としてできるのか、改めて考えたいと思います。