Yahoo!ニュース

サイバー攻撃の現実 ー取り残される地方、まさにシン・デジタルデバイドー

森井昌克神戸大学 名誉教授
(写真:イメージマート)

一昨日に、昨年大きく取り上げられた徳島県東部山間部に位置する、つるぎ町立半田病院へのサイバー攻撃に関する事案報告書がマスコミ各社に発表されました。また報告書の一般公開も、web等でまもなく行われると聞いています。その概要については下記の新聞報道等に任せるとして、報道発表に隠れた要因について述べましょう。

昨年10月にサイバー攻撃を受け、身代金要求型ウイルス「ランサムウェア」に感染し、約2か月間病院機能の一部が停止した徳島県つるぎ町立半田病院は7日、町議会の全員協議会で、有識者会議の調査報告書を示した。電子カルテシステムを操作するパソコンのセキュリティー対策ソフトを稼働させていなかったことが明らかになった。

2021年10月にサイバー攻撃を受け、患者約8万5千人分の電子カルテが閲覧できなくなった徳島県のつるぎ町立半田病院は7日、町議会の全員協議会で、経緯などをまとめた有識者会議の報告書を示した。報告書は電子カルテシステムを提供する企業側の対応の不備を指摘した。

当時、「病院が狙われた」という内容の記事を目にしましたが、決して病院が狙われたわけではなく、ましてや半田病院が狙われたわけではないのです。強いて言えば「脆弱性が狙われた」のです。VPNと呼ばれる特定の人しか利用できない病院内のネットワークに入るための装置の脆弱性が狙われ、結果的にIDとパスワードが漏えいし、簡単に侵入されたのが直接の原因です。しかし、直接の原因ではあるのですが、その前提としての様々な原因、つまり、その脆弱性が狙われた要因は複数あり、問題の本質はVPNの脆弱性ではありません。報告書でも強調されているように、ただ一つの脆弱性が原因ではなく、病院内で利用されるネットワーク、電子カルテ、会計システム等すべてのセキュリティに問題があったのです。利用しているサーバやパソコンのOS(基本ソフトウェア)ですら脆弱性があり、満身創痍の状態で稼働させていたのです。では、その満身創痍のシステムを病院は診断できなかったのでしょうか。まさに診断できなかったというよりも、診断すべきベンダー(システムを導入、運用管理すべき業者)が誤診を行い、あるいは重篤な病状(脆弱性の数々)を知っていながら、病院側を安心させるために詭弁を弄していたのです。その詭弁の根本は「閉域網」という謎の言葉です。簡単に言えば、「病院のネットワークは外部のインターネットと結ばれていない」ということです。内部犯行でない限り、絶対に不正アクセスを受けないという理屈です。この理屈は、2015年の日本年金機構への大規模な情報漏えいを引き起こした不正アクセスの際も言われました。120万人分以上の年金情報に関わる重要な個人情報が漏えいした事件で、当初、日本年金機構への不正アクセスはあり得ないと断言していたのです。その理由は「インターネットに接続していない」という閉域網という理屈でした。現在のネットワークシステムにとって、「閉域網」というものは存在しないと言っても過言ではありません。もちろん、物理的にネットワークをインターネットから切り離し、厳しく運用すれば可能かもしれません。しかし現実問題としては不可能なのです。日本年金機構の場合も厳しい運用規定が守られず、パソコンやUSBを通して、間接的に外部と接続してしまいました。

日本年金機構における不正アクセスによる情報流出事案につきましては、皆様にご迷惑、ご心配をおかけしており、誠に申し訳なく、心からお詫び申し上げます。

当機構では、お客様の年金を守ることを最優先に取り組んでおります。お客様に被害が発生することのないよう、最大限の努力を続けてまいります。

つるぎ町立半田病院のように地方の病院、そして病院だけでなく地方の中小企業や小規模自治体に向けて、DXの掛け声以前のIT化の潮流の中で、様々なシステムにおけるベンダーがその導入に取り組みました。しかし、当然ですが、いわゆるITに関わる情報システムは冷蔵庫や炊飯器のような白物家電ではなく、その運用、管理が必要になり、その技術、知識は容易なものではありません。医療機器の場合、病院には技師が必ず常駐するのですが、情報システムの運用管理を十分に行え得る技術者を置くことは必須とはなっておらず、さらに情報システムは医療機器と同様以上に発達するばかりか、インターネットやスマホに関係する外部要因は急速な発達を遂げています。このすべてをフォローできる技術者を添えることは事実上不可能であり、ベンダーの力を借りるほかにありません。しかしながらベンダー自体も必ずしも狭い専門分野の技術はともかく、情報システム全般の知識や技術に十分に長けているわけではなく、さらに人員も不足しています。したがって多くの場合、地方ベンダーと呼ばれる地元の中小のIT関連会社を仲介することになります。この地方ベンダーの知識や技術力が現状にまったく追いついていないのです。特にサイバーセキュリティという分野については技術力や知識が大きく不足している場合が多いのです。

地方におけるサイバーセキュリティを含めてDX化の鍵は、地方ベンダーの技術力、知識にかかっています。地方ベンダーを活用するためにも、まずその能力の改善が強く望まれます。

神戸大学 名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工繊大助手、愛媛大助教授を経て、1995年徳島大工学部教授、2005年神戸大学大学院工学研究科教授(~2024年)。近畿大学情報学研究所サイバーセキュリティ部門部門長、客員教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、情報理論、暗号理論等の研究、教育に従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。2024年総務大臣表彰。電子情報通信学会フェロー。

森井昌克の最近の記事