見出し画像

つるぎ町立半田病院のランサムウェア被害

アイシーティーリンク株式会社 公式ブログ

こんにちは。アイシーティーリンク株式会社の吉野です。
今回は業界を震撼させた徳島県の半田病院で発生したランサムウェア被害について、報告書を読んだ上で色々感じた事を書こうかなと思います。

最初にこの事件を知った時、セキュリティ界隈で仕事をしている私としては「非常に優れた対応だな」と感じました。具体的には「犯人の脅しには屈しない」「システムの復旧を目指すのではなく独自でシステム再構築を目指す」という病院側からの強いメッセージがあったからです。バックアップも被害に遭ってしまい復旧する術がない中で、最善の方法を選択しながら頑張る、犯人グループの思い通りにはさせないと聞いて心の中で応援しておりました。この時までは。

今年6月になり、この半田病院のランサムウェア被害に関する報告書が公開されました。これまで断片的な内容でしか知り得なかった事が横断的に時系列で書かれており、読み応えのある内容でした。しかし読み進めていくうちにその内容に違和感を感じる部分が多々生まれてきてしまい、読み終えた時には当初抱いていた病院の対応に対して真逆の感想を持つ事となりました。
この報告書を執筆された方々(複数名で最終チェックまでされたと思いますが)の主観で書かれている部分が濃すぎて、全体的に残念な報告書だなと思ってしまったからです。文章内でも「〜するべきであり」という「べき論」が要所に展開されていて、それが全面的に病院を擁護する形で終始ベンダー叩きで終わっているという印象を持ちました。私だけがそう感じたのかと思ったのですが、Twitterの中でもそのような意見を持つ方々がいたので私だけではないと思います。中でも一番「そりゃないよ」と思ったのは、以下の部分です。

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 より

これを言い換えるとこう聞こえます。

「経営状況が悪化の一途で、医師も看護師もギリギリの状態で頑張っているのだからIT担当者を増やすことはできない。1人体制で頑張るのだからカルテ業者やインフラ業者が助けるのが当然でしょ?もちろんお金ないからサポート契約もできないけど、病院って大切な施設なんだから助ける義理があるよね」

と言う事は、

「お金がないから放射線技師の方がレントゲンの修理もしなくちゃいけないし、その医療機器を納入してるメーカーやベンダーは「命に関わる物だからタダでメンテナンスするのが筋だろ!」

となるのでしょうか?恐らくそうはならないと思います。レントゲンは医療行為に必須の事で、病院の経営に必要な予算としてメンテナンス費用が「誰も何の疑いもなく」計上されているでしょう。

つまり町も病院も電子カルテは医療行為を継続する為に必要なコア領域であるのに、ITというカテゴリ括ってオマケ扱いなのだろうと考えていたのではと思うのです。これは半田病院のみならず様々な業種・業態でも同じ事が言えます。構築や調達は仕方がないが、その後の保守については正直「どうでもいいし何とかなる」と思われがちです。生活の中で身近な例に置き換えると、「自動車買ったけどタイヤは命に関わる物だからディーラーがタダでメンテするべきだよね。ガソリンは払うよ、だって入れないと走らないもの」という感じです。ガソリンは必需品として認識してるから仕方なく払うけど、タイヤは認識してないケースです。

今回の半田病院の報告書は、読めば読むほど「病院は最善を尽くした。ダメだったのはベンダーの対応だ」と読めるのですが、今回の報告書を病院側、町側の都合よく纏めて全ての責任をベンダーに押し付けているようにしか思えないのです。もしかして今回はベンダーが悪者になってくれないか、その代わり保守の大切さを訴えて来年から予算つけて発注するようにするから、という手打ちがあったのではないかな、と勘繰ってしまいます。そうでなかったらこのベンダーの叩かれっぷりは異常です。なのにベンダーが反論をしていません。ここで反論しないと「そうだよね、保守なんてなくてもやばいシステムならベンダー助けるべきだよね」が常識になってしまう危険性を感じています。

長くなりましたが、セキュリティのみならずシステムは作って終わりではありません。それを運用・保守する人がいて成り立ちます。エレベーターだって設置したら終わりではなく定期的な保守が必要です。つまり保守契約は人々の安全を守る必要な契約です。私たちベンダーはプロですので保守契約を頂いている限りはその責任を全うしますが、契約なしのまま善管注意義務を拡大解釈する考えには反対です。

このブログはアイシーティーリンク株式会社のブログですが、別のグループ会社として「セキュアリンク株式会社」がありまして、私はその代表を務めさせていただいております。セキュリティに特化した事業を展開しており、Webサイトの脆弱性診断やシステムセキュリティなどを診断する事業を展開しております。今回の事件は閉域で運用されるべきシステムに対してVPNでアクセス可能な入口が存在し、その脆弱性を突かれた事で発生しました。このような事案についても診断を行い改善策を提案しておりますので、自社のシステムセキュリティに関して不安がある、診断を受けたいとお考えの方はぜひご相談下さい。

最後に経済産業省が提唱する「サイバーセキュリティ経営ガイドライン」の概要から最も大切な部分を引用して終わりにしたいと思います。

セキュリティは事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、IT を利活用して企業の収益を生み出す上でも重要な要素となる。セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要である。このように、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

経済産業省 サイバーセキュリティ経営ガイドライン Ver 2.0 より

セキュリティ対策はコストではなく投資です。

全ての企業経営者がこの意識を持ってセキュリティを蔑ろにする事がないように心から祈っております。

それでは。


いいなと思ったら応援しよう!