ランサムウェア攻撃による被害は今も数多く発生しており、2021年10月に発生した徳島県つるぎ町立半田病院で発生したランサムウェア攻撃による被害について2022年6月に報告書を公開されました。
報告書には被害状況の把握や復旧に関する対応などが詳細に記載されており、「4 半田病院の情報システムの課題」を中心に見ていくと3つの問題点があったと考えます。
・人員不足
情報システム管理者が1名で200台を超える端末と10数台のサーバー、電子カルテシステムの対応を行っていた。
・運用管理不足
システムベンダー、電子カルテベンダーとのコミュニケーションが円滑ではなかった。
・セキュリティ対策が不十分
業務システムの動作が不安定になるという理由でセキュリティアップデートなどの脆弱性対策、ウイルス対策ソフトを停止していた。
被害の発生、拡大が起こった個々の原因を読み進めて行くと、人員不足によって管理が行き届かず対応が十分に実施されなかったことがこの事故を発生させる原因になったのではないかと考えます。この規模のシステムを1名で管理するのは難しく、更に委託先とのコミュニケーションも円滑ではなかったことから、現在では「当たり前」と言われるセキュリティ対策の数々ができていなかったと書かれています。たらればの話になってしまいますが、実施されていなかったセキュリティ対策の一部でも実施されていれば被害がここまで大きくならなかったかもしれません。
対策については「当たり前」や「一般的」「他でもやっている」という抽象的な基準ではなく、攻撃によって発生する可能性のあるリスクに対して具体的な対策が必要です。
報告書に記載されている「行われるべきだった対策」については他人ごとではなく、自社、自組織では適切に実施、運用されているかを、業務をアウトソースしている場合は委託先が適切に対応しているか点検されることをお勧めします。
再発防止や今後の対策については業界、業態に関わらず具体的で参考になるものが多数記載されているので、自社、自組織、委託先管理においても参考資料として利用できる内容が記載されています。
また、点検結果に問題があれば関係者に報告を行い適切な対策が実施できるよう協議調整を行うことも必要になります。
- 情報システム関連部門は対応、管理、運用が適切に行われているか点検を行い、問題があれば上層部に報告相談を行う。
- 上層部、経営層は情報システム関連部門から問題があることが報告された場合は解決のために必要な人員、物品、費用などを支給する。
特に今回の事故原因にもなった人員不足の解決には従業員の採用など情報システム部門だけでは解決できないものもあり、関係部署や上層部、経営層も巻き込んだ調整が必要です。
被害に遭ったがどう対策して良いか分からない
自社自組織のセキュリティ対策は適切か
セキュリティ対策の課題を解決したい
などでお悩みの際はお気軽にご相談ください。
