セキュリティ軽視のデジタルトランスフォーメーションが進めば、日本は近い将来、サイバー攻撃によって日本の産業が大規模に停止する事態が起きる可能性があることを強く認識すべきである。
これは昨年の10月、徳島県つるぎ町立半田病院の医療システムがカルテも消失するという「ランサム攻撃」を受け、復旧にむけた「報告書」のまとめの一節である。
「報告書」は昨日の16日に公開された。
こちら ⇒
A4用紙150枚もの報告書、
+Software ISAC(アイザック)のガイドライン
8万件の電子カルテなどの医療情報が消失し、町は大地震による大規模災害を受けたものとして位置づけ、復旧にむけた2か月間の奮闘の記録でもある。
私も若い時にコンピューターの保守を行ってきた身として注視していた。
一般論として、保守点検は企業の収入に直接つながらないし、目に見えない。さらにバランスシートからみれば経費節減の対象そのものでもある。
ましてや公立病院はどこも赤字。人員削減,、委託など経費節減に必死である。
他人ごとではない。
報告書を読むと、セキュリティにいかに無頓着であったか。いや、金がないから手がまわらいのか、それとも複雑すぎてベンダーまかせだったのか?
同時にベンダー企業の実態をも明るみに出したのではないか。
報告書では「ベンダーが昨今のセキュリティ事情を考慮せず、現在となっては極めて脆弱なシステムの販売と稼働を優先させたことにあった」と結論づけた。
かかわっていたベンダーは十数社あり、技術力の弱さや責任の所在がお互いにあいまいであった。
重要なVPN機器のベンダーのおそまつさ。いま話題になっているIE(インターネットエクスプローラ)はバージョン7であった。
通信にHTPPSではなく、暗号化されていないHTTPのままであった。USBの利用も自由にされていたようだ。
パスワードも変更されず、多くの端末はAdministrators設定であり、入力制限がなく総当たり攻撃もできる状況となっていた。
そしてOS、セキュリティなどのバージョンアップを停止状態にしたこと、サポート切れもあり、最後の一撃につながったのではないか。
最初に狙われるADサーバーが乗っ取られ、水平展開 (ラテラルムーブメント)で一気に感染していったようだ。
「閉じたシステム」への安全神話も指摘されている。
7年前の日本年金機構が125万件もの個人情報を流出した事件も「閉じたシステム」であった。この教訓がまったく生かされていない。
経費節減のターゲットになりやすいセキュリティ、保守点検。
とりわけ命にかかわる病院への国による「財政支援」こそ喫緊の課題ではないか。でなければ、どんな調査報告書を出しても画餅に終わる。
大規模災害に匹敵する今回のランサムウェア事件。関係者の血と汗の結晶ともいえる苦闘の記録である「報告書」150枚に、政治家こそ目を通すべきではないか。
こちらの私のブログも⇒
病院へのランサムウェア攻撃→