徳島県つるぎ町立半田病院における「コンピュータウイルス感染事案 有識者会議調査報告」を拝見させて頂き、以前の記事でその報告書の中の「事案対応の経緯」から見えてきた事について書かせて頂きました。
今回はその続きとして、中小企業ができるランサムウェア対策について触れてみます。
電子カルテが利用できなくなった原因と課題
半田病院の報告書では、コンピュータウイルスに感染し、2か月もの間、電子カルテが利用できなくなった原因については、
- 情報の担当が一人しかおらず、保守に関わる予算も削られ、適切な運用体制ができていなかった。
- システムを導入した複数の業者に於いて、責任の範囲が明確になっておらずウイルス感染の原因と思われたVPNルータの脆弱性に関する情報提供やVPNルータのソフトウェアの更新が行われなかった。
- 院内の端末においては、インターネットにつながっていないとの認識からウイルス対策ソフトの起動されていなかった。またパスワードは安易なものを設定していた。
などが挙げられています。
これらを見ると病院や導入業者の問題と思われてしまいますが、報告書では、
「特筆すべき課題は政府機関、自治体、公営企業法などから生じる責任感の不透明さなど、公的機関や制度の根本的な課題である。」
としています。
そして
「国はそのようなセキュリティの知識や経験に長け、言わば日本の安全に貢献している事業者は、減税や補助、表彰といったような制度などを検討し、具体的で持続的にセキュリティエコシステムを形成していくべきである。」
とまとめていました。
この報告書を拝見すると、私たちのように日々サイバーセキュリティ対策に苦心している人財が、必要としている組織に対応できるような施策が早急に必要であると改めて感じました。
ランサムウエア対策に必要な対策とは!?
ランサムウエアとみられる被害事例は相次いで報じられています。
医療機関では、2021年10月のつるぎ町立半田病院ほか、2022年には2病院でランサムウエアの被害に遭い、ホームページにその様子が公開されているのを確認しました。
ある病院の例では、被害発生を報じた第1報の続報となる翌日の第2報で、バックアップからサーバを回復させ、夕方には電子カルテと院内ネットワーク稼働が可能となることを報じていました。
恐らく機能や利用範囲に制限はあると思いますが、それでも翌日はシステムの利用ができるようになるとは、驚き、素晴らしいことだと思いました。
ではランサムウェアに対してどのような対策があるのでしょうか?
幾つかの大手企業によるランサムウェア対策はいろいろなメディアで紹介されており、以下のような例があります
〇ゼネコンA社の例
米セキュリティ企業が提供する脅威インテリジェントサービスを利用
自社やグループ会社のセキュリティを脅かす情報(業務向けクラウドサービスなどで利用するID、パスワードなどの認証情報)がインターネットや闇サイトに出回っていないかを確認し、高い脅威と分かれば直ちに対策を行えるようにしている。
〇業務用ポンプ大手の例
米セキュリティ企業が提供する「不健康」な社内端末を可視化するツールを利用
社内端末においてWindowsの脆弱性を修正するプログラム(パッチ)を適用していない端末やIT部門が管理していない端末を見つけ出して、攻撃者から狙われやすい端末を排除する
〇化学大手の例
社内やテレワークに従事する端末に振る舞い検知型のツールを導入
社内の端末やネットワークのログを収集・分析し、「データを外部に送る」といった不審な通信を検出する。
(参考:日経BP社「日経コンピュータ」2022年6月23日)
1.と3.は「ランサムウエアに感染しない」ではなく、感染する事を前提に早めに感染を検知することで、「予兆を捉えボヤで消す」にポイントがあり、従来型のマルウエア対策ソフトで検出できないランサムウエアに侵入されたしても被害を抑えやすいと思います。
このような対策は新しい潮流であり、素晴らしいと思いますが、ここ島根、鳥取の企業がこのようなツールを導入・運用できるでしょうか。
具体的なコストまで調べていませんが、運用するための専門的知識をもった人員も必要で、導入・運用のハードルは高いと思います。
中小企業が行えるランサムウエア対策はあるのか?
賛否両論あるとは思いますが、私が考えるランサムウエア対策として、まず実施すべきことは、
「バックアップ」
について徹底的に考えること、そして対策し、運用すること、に尽きると思います。
もちろん、人・費用をかけられる組織は様々な対策を行うべきでしょう。
「ランサムウエアの感染は完全には防げない」を前提に考え、感染してもバックアップデータまでは暗号化されない仕組みにすることが最優先です。
費用や手間が掛からない訳ではありませんが、これが一番効果的で短い期間で対策が取れると思います。
通常使う端末やサーバからアクセス可能なバックアップサーバの場合は、端末やサーバがランサムウエアに感染すれば、それらと同じようにバックアップサーバの中身も暗号化されてしまいます。
つまりは、バックアップしたハードディスクやNASの「オフライン化」が「キモ」→電源を切っておく又はLANケーブルを抜いておく、などの対策ができないかを徹底的に考えます。
毎日バックアップを取らなければならないのに、電源を切ったり、LANケーブルを抜いていたら運用できないよ!
との声が聞こえてきそうですが、最低限必要なデータを見極めて、定期的に(例えば1週間に1度程度)手動でデータをコピーし、オフライン化すれば、最悪の事態は避けられます。
先述の鳴門山上病院ではオフライン化されたバックアップがあったために翌日にはシステムが復旧出来ました。
(どのようなやり方でバックアップを取っていたのかはわかりませんので、今後調査を進めたいと思います。)
なお最近では、
一度書き込んだデータを消去・変更できない追記型の記憶方式
(Write Once Read Many → WORM)
に対応したストレージが発売されています。
つまり、一度書き込んだデータは消したり、書き換えたりすることが出来ない記憶装置です。
→ランサムウエアに感染しても記録済みのデータは暗号化されません
使えば使うほど利用領域が増えて行って、直ぐに使えなくなっちゃうのでは?と思いますが、その点私もまだWORMに対応したストレージの運用をどのようにするのか理解できていませんので、次回の宿題にさせてください。
ちなみに発売されている商品を調べましたが、物理記憶容量12TB程度で100万円台からあり、中小企業では導入可能な価格帯です。
中小企業できるランサムウエア対策、これからも引き続き考えて行きたいと思います
