サイバー攻撃の現実 ー取り残される地方、まさにシン・デジタルデバイドー
一昨日に、昨年大きく取り上げられた徳島県東部山間部に位置する、つるぎ町立半田病院へのサイバー攻撃に関する事案報告書がマスコミ各社に発表されました。また報告書の一般公開も、web等でまもなく行われると聞いています。その概要については下記の新聞報道等に任せるとして、報道発表に隠れた要因について述べましょう。
当時、「病院が狙われた」という内容の記事を目にしましたが、決して病院が狙われたわけではなく、ましてや半田病院が狙われたわけではないのです。強いて言えば「脆弱性が狙われた」のです。VPNと呼ばれる特定の人しか利用できない病院内のネットワークに入るための装置の脆弱性が狙われ、結果的にIDとパスワードが漏えいし、簡単に侵入されたのが直接の原因です。しかし、直接の原因ではあるのですが、その前提としての様々な原因、つまり、その脆弱性が狙われた要因は複数あり、問題の本質はVPNの脆弱性ではありません。報告書でも強調されているように、ただ一つの脆弱性が原因ではなく、病院内で利用されるネットワーク、電子カルテ、会計システム等すべてのセキュリティに問題があったのです。利用しているサーバやパソコンのOS(基本ソフトウェア)ですら脆弱性があり、満身創痍の状態で稼働させていたのです。では、その満身創痍のシステムを病院は診断できなかったのでしょうか。まさに診断できなかったというよりも、診断すべきベンダー(システムを導入、運用管理すべき業者)が誤診を行い、あるいは重篤な病状(脆弱性の数々)を知っていながら、病院側を安心させるために詭弁を弄していたのです。その詭弁の根本は「閉域網」という謎の言葉です。簡単に言えば、「病院のネットワークは外部のインターネットと結ばれていない」ということです。内部犯行でない限り、絶対に不正アクセスを受けないという理屈です。この理屈は、2015年の日本年金機構への大規模な情報漏えいを引き起こした不正アクセスの際も言われました。120万人分以上の年金情報に関わる重要な個人情報が漏えいした事件で、当初、日本年金機構への不正アクセスはあり得ないと断言していたのです。その理由は「インターネットに接続していない」という閉域網という理屈でした。現在のネットワークシステムにとって、「閉域網」というものは存在しないと言っても過言ではありません。もちろん、物理的にネットワークをインターネットから切り離し、厳しく運用すれば可能かもしれません。しかし現実問題としては不可能なのです。日本年金機構の場合も厳しい運用規定が守られず、パソコンやUSBを通して、間接的に外部と接続してしまいました。
つるぎ町立半田病院のように地方の病院、そして病院だけでなく地方の中小企業や小規模自治体に向けて、DXの掛け声以前のIT化の潮流の中で、様々なシステムにおけるベンダーがその導入に取り組みました。しかし、当然ですが、いわゆるITに関わる情報システムは冷蔵庫や炊飯器のような白物家電ではなく、その運用、管理が必要になり、その技術、知識は容易なものではありません。医療機器の場合、病院には技師が必ず常駐するのですが、情報システムの運用管理を十分に行え得る技術者を置くことは必須とはなっておらず、さらに情報システムは医療機器と同様以上に発達するばかりか、インターネットやスマホに関係する外部要因は急速な発達を遂げています。このすべてをフォローできる技術者を添えることは事実上不可能であり、ベンダーの力を借りるほかにありません。しかしながらベンダー自体も必ずしも狭い専門分野の技術はともかく、情報システム全般の知識や技術に十分に長けているわけではなく、さらに人員も不足しています。したがって多くの場合、地方ベンダーと呼ばれる地元の中小のIT関連会社を仲介することになります。この地方ベンダーの知識や技術力が現状にまったく追いついていないのです。特にサイバーセキュリティという分野については技術力や知識が大きく不足している場合が多いのです。
地方におけるサイバーセキュリティを含めてDX化の鍵は、地方ベンダーの技術力、知識にかかっています。地方ベンダーを活用するためにも、まずその能力の改善が強く望まれます。