セキュリティの
学び場

今回の解説ニュース

医療機関のセキュリティ対策について注意喚起が発表されています。医療機関が受けたサイバー攻撃の内容と、その対策が進まない背景について説明します。

今回の注意喚起は、医療機関でのランサムウェアによるサイバー攻撃を受けて発表されています。原因として、医療機関自身のシステムではなく院外の調理を委託する事業者のシステムを経由した、いわゆる「サプライチェーンリスク」が顕在化した可能性が高いことが挙げられています。

厚生労働省では、対策として「サプライチェーンリスク全体の確認」「リスク低減のための措置」「インシデントの早期検知」「インシデント発生時の適切な対処・回復」「金銭の支払いに対する対応」が適切に講じられているか確認し、サイバー攻撃を受けた場合にも事業継続計画等により地域住民の医療提供体制に支障が出ないよう注意喚起を行っています。

本丸を狙わず、関連機関を狙った攻撃手法に対策は？

取引先システムからのサイバー攻撃に対策するためには、サプライチェーン全体のリスクを確認することが必要です。

例えば、Aさんが朝ごはんにおにぎりを食べたとします。おにぎりの材料であるお米は、農家の生産者が作っています。そこから農協などを通じて調達されたお米が、製造会社でおにぎりに代わります。さらに、配送業者を経てコンビニに陳列され、Aさんの食卓に並ぶわけです。この一連の流れが鎖に見立てられるため、サプライチェーンと呼ばれるわけですが、仮にこの鎖に安全性の観点でほころびがあった場合、鎖が切れるようにその信頼性が損なわれます。

ITのサプライチェーンも同様に、自身のシステムにおけるセキュリティ対策に加え、サプライチェーンとの接続状況や、取引先システムのセキュリティ対策等をも俯瞰しつつ、必要な対策を講じる必要性があるとしています。厚生労働省の発表にも「関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点をすべて管理下におき、脆弱性対策を実施」するよう挙げられています。

関係各所へのセキュリティ管理体制の把握、対策は可能なのか

サプライチェーンリスクを解決するためには、誰がそのコストを負担すべきかという社会問題に向き合う必要があります。

先ほどの例えで、おにぎりが消費者の口に入るまで、食の安全は誰が担保すべきでしょうか。お米の生産からおにぎりの製造や配送、コンビニでの販売に至るまで、食の安全が損なわれるリスクが潜在しています。一つの答えとして、サプライチェーン全体で安全性を担保する必要がありますが、そのためには当然、すべての関係者に一定のコストがかかることになります。そのコストは誰が負担すべきでしょうか。

ITに話を戻すと、一つのサービスを提供するためには、委託先の開発会社やクラウドだけでなく、利用しているオープンソースなどで形成されるサプライチェーンに、様々なセキュリティリスクが潜在しています。仮に、コストを払えない企業がセキュリティを担保できなかった場合に、その影響範囲がどこまで広がるか、ご覧の皆さんも想像がつくのではないでしょうか。つまり、お金がなくてセキュリティ対策ができない状況は、現代における取り残された社会課題であると言うことができます。

今回は、医療機関が受けたサイバー攻撃の内容と、その対策が進まない背景についてお届けしました。