セキュリティの
学び場

今回の解説ニュース

病院内のシステムがランサムウェアに感染したインシデントについて、報告書が公開されています。ランサムウェアに感染する前と後にできるセキュリティ対策について説明します。

今回のインシデントでは、電子カルテをはじめとする病院内のシステムがランサムウェアに感染し、カルテが閲覧できなくなるなどの被害が発生しました。原因として、病院で使用していたFortinet社製のVPN装置で導入当初からソフトウェアの更新が行われておらず、2021年夏に日本国内でも話題になった「CVE-2018-13379」も放置されていた事が挙げられています。

再発防止策として、国の新たな指針も参考にしながら、ガイドラインを遵守したシステムの構築を行うということです。

知識や経験不足から回復に遅れ、初動対応は何から優先すべきか

ランサムウェアに感染してしまった際の初動対応として、被害を広げないために感染した端末をネットワークから遮断することが必要です。また、ランサムウェアの感染に早く気が付くことで被害を最小限に抑えることができます。

例えば、仕事をしているAさんが体調不良になったとします。元気になるために、病院へ行ったり、薬を飲んだりすることが考えられますが、まずは他の人にうつさないように出社を控えることを検討するのではないでしょうか。ランサムウェア感染の場合も、他のシステムへ被害が広がらないように、感染した端末をネットワークから遮断することが必要です。

具体的には、セキュリティ対策プログラムがランサムウェア感染を検知した場合は自動的に遮断してくれる場合があります。セキュリティ対策プログラムが対応していない場合は、ネットワークケーブルを抜線したり、Wifiのネットワーク接続を無効にしたりすることでも対応することができます。

ただし、ランサムウェアの感染自体に気が付くことが遅れてしまうと、その間に感染が広がってしまう可能性がありますので、EDRなどのセキュリティ対策プログラムを有効にした上で、常に状態を監視をすることが求められます。こちらも、病気の早期発見が有効であることと一緒ですね。

把握しておくべき必要最低限のセキュリティ知識や情報とは？

最低限把握しておかなければいけないセキュリティの情報は、保持している情報資産に紐づく脆弱性情報です。特に、重要度の高い情報資産や深刻度の高い脆弱性は漏れなく把握している状態か望まれます。

日々公開される膨大なセキュリティ情報を漏れなく把握していくことは、セキュリティ専門企業でない限りは困難ですし、効率的な作業とも言えません。そこで、現実的に管理できるセキュリティ情報へ絞り込むためには、保持している情報資産を把握した上で、その情報資産にセキュリティ情報を紐づけていく作業が必要です。

セキュリティ情報の深刻度は、脆弱性に付与されているリスクレベルから測ります。ほとんどの脆弱性にはCVSSが付与されているので、深刻度の参考になるはずです。その他のセキュリティ情報として、今、実際に攻撃を受けているか否かの脅威情報も含まれます。重要な情報資産を監視する仕組みがあれば、いち早くそのサイバー攻撃に気が付くことができるでしょう。その必要性については、先ほどご説明した通りです。

今回は、サイバー攻撃の前後で考えてほしい、効率的なセキュリティ対策についてお届けしました。