昨年10月31日、徳島県つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアに感染し、カルテなどが閲覧できない事案が発生しました。
このことは報道でも度々取り上げられ、サイバー攻撃は対岸の火事では無いことを改めて強く示した事案だったと思います。
この事案についてはこれまでにも何回か取り上げさせて頂きましたが、コンピュータウイルスに感染した原因や復旧までの経緯等は憶測の域を出てませんでした。
6月中旬に外部の有識者による会議にて作成された「調査報告書」が半田病院のWebサイトに掲載されました。
今回はこの報告書を読んで感じたことなどについて書きたいと思います。
地元紙にサイバーセキュリティに関する記事が掲載された!
報告書に関する内容の前に…。
少し前になりますが、松江に本社を置く山陰中央新報社から「サイバーセキュリティに関する特集記事を掲載したい」とのお話を頂き、取材を受けました。
同社が発行する新聞:山陰中央新報の紙面には6月19日(日)、20日(月)の2日間に渡り、
特集「迫るサイバー犯罪」
として掲載され、私は19日(日)の記事に掲載されました(なんと写真付きで)。
取材にあたり私からは、
- 山陰両県の企業、医療機関、組織に於いてはサイバーセキュリティ対策は十分ではない
→経営者や組織幹部のサイバーセキュリティに対する危機意識が低く予算や人を充てていない(充てることができない) - サイバーセキュリティに関する問い合わせ窓口は警察、商工団体などあるものの、積極的にサイバーセキュリティ対策の実施状況のチェックなどを行い、対策や優先順位の指摘、指導を行う組織・団体が必要
→国や県などの補助金など、何かしらの費用的補助が必要 - サイバーセキュリティに関する人財が不足しており、技術的なスキルも必要だが、俯瞰的にシステム全体が見渡せるスキルを持った技術者(管理者)の育成が急務である
などと、最近特に感じている内容について伝えました。
お伝えした内容は、私が普段サイバーセキュリティに関する仕事をする上で、肌で感じていること、そして以前書かせて頂いた、ある医療機関での
「医療機関のサイバーセキュリティ対策チェックリスト」
に基づいて行ったヒアリング及び調査で改めてサイバーセキュリティ対策の現実を目の当たりにしたことに基づいたものになります。
今回地元紙の記者の方が、
「サイバーセキュリティに関することであればセコム山陰に聞いてみよう」
と思って頂いたことは非常に光栄であり、地道にサイバーセキュリティに関する仕事を続けてきて良かったと改めて感じることができました。
これからも山陰地区のサイバーセキュリティに関するお手伝いができればと勉強をして行きたいと思います。
さて、話を本題に戻して…。
「調査報告書」の内容はいかに!?
先述した有識者会議調査報告書としての資料は3つ掲載されており、一つ目の
・コンピュータウイルス感染事案有識者会議調査報告書
が主な内容になります。
ページ数は41ページとそれなりの量がありますが、拝見させて頂き、まず感じたことは、
詳細な経緯や関係者(ステイクホルダー)の思惑、役割分担、また根本的な問題など、よくぞここまで赤裸々に書いて頂いた!
が率直な感想です(真面目に感動する内容でした!)。
調査や報告書のとりまとめに携わった方々に心から感謝申し上げたいと思います。
インターネット上には今回の報告書を基に報告されているページも幾つかありますので、詳細はそちらに任せるとして、私として気になった点について挙げたいと思います。
経緯の記録が詳細!
まず感じたこと。経緯を記述した内容が詳細なことです。
2021年10月31日の未明の異常発生から、2022年1月4日の電子カルテシステムが再稼働し通常の診療再開までの間の経緯が事細かく詳細に書かれています。
報告書には
「災害対策本部が設置され、経時活動記録(クロノロジー)が作成されており、インシデント対応を時系列に追うことは比較的容易であった。」
とあります。
今回の事案に際し、複数のチームが活動をされたと思いますが、それぞれのチームでも詳細な活動記録を取っていたことが覗えます。
しかしながら
「B社(後述)提出の調査報告書の内容が希薄なため、その全容を解明することはできなかった。」
ともあります。
これは、B社が細かい活動記録を取っていなかったことなのか、活動記録を取っていたものの、病院に提出された報告書の内容が希薄であったかまでは分かりませんが、事案を振り返ってみるためには詳細な活動記録が重要である事を改めて認識させられました。
「事案対応の経緯」を見て気になるところとは?
この報告書の中でシステムに関わる関係先として3社が登場します。
A社:電子カルテシステムに関するハードウェア、OS等インフラを導入(電子カルテベンダーではない)
B社:今回のコンピュータウイルス感染に関してA社から紹介を受け、データ復旧に関する調査・復旧作業を担当
C社:電子カルテ事業者、同病院の電子カルテ導入を担当
「事案対応の経緯」で気になる点を幾つか書きたいと思います。
A社が病院に入ったのは、異常が発生してから2日後の11月2日の11:00です。
この異常事態に翌日に来院していないことが気になりますが、報告書には病院とA社間でシステムの保守に関する契約が無いと書かれていますので、やむを得ないのかもしれません。
病院からB社(東京)に対し関係するサーバを11月3日に送付しています。
B社にて調査・復旧作業を行った後に病院に対してサーバが12月6日、11日、15日に返送されていますが、15日到着のサーバの3台のうち一部が破損していたとのことでした。
報告書にはB社について
「輸送によるハードウエアの損傷などが生じる可能性に丁寧な指示がない。」
とあり、緊急事態にあるからこそ、一つ一つの対応を丁寧にするよう必要性を感じました。
電子カルテベンダーであるC社が来院したのは11月5日19:00であり、異常が発生してから5日目の夜です。
これは対応の遅さが否めないと思いますが、報告書を読んでいくと「C社は、アプリケーションの担当が自社、ハードウェア・OS等のインフラの提供及び設定はA社が担当であるとしている。」とあり、その認識がこの対応の遅さに関係しているかもしれません。
経緯の11月22日には「C社に提案や対応の遅れに対するクレームを入れる。」とあり、病院としてもその対応にいら立ちがあったことがわかります。
保守契約の有り無しに関わらない対応が必要か!?
まだ書きたいことはあるので、次号に回したいと思いますが、今回発生した事案は報告書にあるように
「災害級の重大インシデント」
であったと思います。
病院の電子カルテが閲覧できない、は地域の住民の命に係わることであり一刻も早い復旧が必要になる事は言うまでも無いと思います。
保守契約が無いから対応は後回し、になったのかは分かりませんが、報告書を拝見した限りでは、関係するベンダーの対応の迅速さは感じられませんでした。
この事を改めて認識して、ITに携わる者として今後の対応について活かしたいと思います。
まだ「事案対応の経緯」しか触れていませんが、次回もこの報告書について書きたいと思います
