厚生労働省が昨年10月頃出された、「医療機関向けサイバーセキュリティ対策チェックリスト」を基に、ある医療機関でのサイバーセキュリティ対策の現状についてヒアリング調査を行い、下記の問題が見えてきたと書かせて頂きました。 (1)チェックリスト自体の存在を知らない (2)チェックリスト内の専門用語がわからない (3)外部接続用の機器・回線が台帳で管理されていない (4)サイバーセキュリティにかかる最新動向の収集ができていない (5)ランサムウェア対策としてのバックアップが不十分 ヒアリングさせて頂いた医療機関のご担当者、院長先生は口を揃えたように 「ITの専門化の人財を雇える予算・余裕は無い」 と仰ってました。 規模の大きい(具体的に何を基準として大きい小さいの判断は難しいですが)医療機関であれば、医療情報部的な部署があり、サイバーセキュリティに関する対応を行い、先述した(1)~(5)について対応を進める事ができるかもしれません。 しかし、多くの医療機関は専門の知識を持った人財を雇用できないことが実情ではないでしょうか
「情報の整理が大事!」 分かってはいるが…
私が考える必要なサイバーセキュリティ対策としては、自組織におけるIT資産に関する「整理」が最初の第一歩となります。
整理する項目としては、
1.守るべき情報は何か(どこにあるか)
→漏洩したり、消えたりすると困るものは何か
2.どのような機材、ソフトウェアを利用しているのか
→機材についても稼働しているソフトウェアのバージョンの情報も必要になります
3.ネットワーク構成はどのようになっているか
4.インターネットだけでなく、外部とどのようにつながっているか
→利用している回線、接続元の制限はどのようにしているか
5.バックアップはどのように取得しているか
→どのように、誰が戻せるか
といったものが挙げられます。
残念ながら、これらを整理する作業は全く楽しくない。しかし、頑張ってやるしかありません…。
これらの情報を基に、危険なところやセキュリティ的に弱いところはどこなのか?ということを考えることで、必要となる対策が見えてきます。
これらが、いわゆる「リスク分析」と言われる作業です。
しかし、いざ自組織で取り組もうとすると、どのような項目をどのような表で整理すればよいのかよく分からない、といった問題が出てきて、なかなか先に進まないでことでしょう。
そんな時にどこか相談できるところはありますか?
サイバーセキュリティに関する情報漏洩や不正アクセスを受けた場合には、警察をはじめとする関係機関への報告・相談ができますが、その前の予防に関する相談窓口って、なかなか見当たりません。
サイバーセキュリティに関する相談窓口はあるのか?
先述したリスク分析で必要となる
・自組織内に関する情報の収集から始め、それらを整理して、文書として記録する
・それを基にリスク分析して、対策について優先順位を付けて検討する
という作業を、日々私たちは社内の日常業務として行っており、お客様から相談を頂ければ対応することは可能です。しかし、残念ながら無償で行うことはなかなかできません。
「相談窓口」については、島根県では県警が中心となって、商工団体等と連携して情報セキュリティ対策に関する企業からの相談受付や支援のための体制が一応形としては進められています。ただし、ネット上にはそれに関連する情報は公開されていませんし、実態としてはほとんど機能していないようです。
となると、情報セキュリティ対策の進め方等を気軽に相談できる先が無いことに加え、多くの組織ではそう言った作業に費用を出せないこともあり、ITを担当しているあなたが勉強してやりなさい!という状況になってしまう可能性が大きいと思います。
しかし、今のような状況が続けば、効率的なセキュリティ対策は行えず、コンピュータウイルスの被害にあってしまう可能性のある状態が続いてしまいます。
サイバーセキュリティ対策は結局は事業継続のための対策であり、BCP対策の一つです。
BCPについては「事業継続力強化計画」の認定制度や関連する優遇措置等が整備され、国としてBCPを普及させるための制度がやっとできてきました。
しかし、サイバーセキュリティ対策を促進させるための施策はまだまだ不十分のように感じています。
とは言うものの、情報化のさらなる進展に伴い、サイバーセキュリティの重要性は日に日に高まっていることから、サイバーセキュリティ対策についても国や自治体による支援体制づくりや予算化などが必要になるでしょうし、日々専門に業務を行っている私たちの知識を少しでも還元できる仕組みの構築も必要になると思います。
なかなか難しい問題ではありますが、模索を続けて行きたいと思います。