【セキュリティ文明開化シリーズ】
情報セキュリティ専門家として30年以上の経験を持つ山崎文明が、セキュリティ分野における世界での出来事を新たな視点や切り口でお届けします。
前回は、日本政府がプロテクティブDNSサービスを無償提供するというお話をしました。政府が無償でプロテクティブDNSサービスを提供している国として英国が挙げられます。英国政府ではアクティブ・サイバーディフェンスの例として11のサービスを提供していますが、その中の一つがプロテクティブDNSサービス(PDNS)です。
さて、今回は、6月15日に開催された医療ISACの日米合同ワークショップの話題をお伝えします。このワークショップは、日本の医療ISACと米国のHealth-ISACが毎年開催しているものでHealth-ISACの会長デニス・アンダーソン氏やFBI(連邦捜査局)の特別捜査官リリー・チェン氏、日本からは警察庁サイバー警察局の澄川拓巳課長補佐などが参加し、最近のサイバー犯罪について講演が行われました。
- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
医療機関に対するランサムウェアの脅威
Health-ISACの会長アンダーソン氏やFBI特別捜査官チェン氏、サイバー警察局の澄川氏が異口同音に語ったのは、医療機関におけるランサムウェアの被害の多さでした。FBIや警察庁サイバー警察局は、欧州刑事警察機構(ユーロポール)と協力して2024年2月24日にランサムウェア犯罪グループの一つであるLockBitをテイクダウン(解体)したとアナウンスしました。世界10か国の法執行機関が協力したテイクダウンでしたが、すぐさま復活を遂げ、LockBitはFBIへの報復宣言をだしています。
日米両国を通じて未だ収束の気配を見せないランサムウェアが医療機関の最大の脅威になっているのが現実です。FBIのチェン氏はランサムウェアの被害にあっても決して身代金を支払わないようにと繰り返していましたが、セキュリティベンダーのveeamが6月3日に発表した「ランサムウェアのトレンド2024」よると、ランサムウェアに感染した組織の何と81%が身代金を支払っているようです。
ちなみに身代金を支払ってデータ回復ができた組織は51%、身代金を支払ってもデータが回復できなかった組織は29%だったそうです。
話題の中心は医療法25条対応
当事者である医療関係者のサイバーセキュリティに関する話題としては、2024年6月から実施されている「令和6年度の保健所による医療法第25条第1項の規定」に基づく立入検査に関する話があります。
医療法第25条第1項の規定に基づく立入検査とは、医療機関が医療法及び関係法令により規定された人員及び構造設備を有し、かつ、適正な管理を行っているか否かについて検査することにより、県民の期待に応えられる医療の提供体制になっているかを確認することを目的に行われます。
今この保健所による立ち入り検査がなぜ話題になっているかというと、医療法施行規則が2023年4月1日に改正されたためです。
医療機関の相次ぐランサムウェアによる被害を問題視した厚生労働省は、医療法施行規則を改正し、新たに第14条第2項を追加し「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない。」としました。
既に受審した複数の医療機関からは、「今年度は保健所の検査担当者も十分な研修を受けており、チェックリストの各項目についてエビデンスの提示を求めている」、「昨年度のように簡単にはパスできない」などの声があがっているようです。また、令和5年度のチェックリストで「いいえ」のまま残った宿題分についても、今年度チェックされることが示されており、さらに、令和6年度のチェックリストには、端末とサーバーの脆弱性対策やBCP(事業継続計画)といった、準備に相当の労力と知識を必要とする項目が並んでいます。
脆弱性管理を適切に
保健所による立ち入り検査では、最新の脆弱性パッチが当たっているかを検査されるようですが、脆弱性の管理は、医療機関でなくともサイバーセキュリティの基礎として徹底されるべき行動です。一方で脆弱性の管理は複雑で難しいとの声もよく聞きます。事態を深刻化しているのは、個人の判断でアプリケーションが追加される「シャドーIT」の問題です。Microsoft Configuration Manager(MCM)のようなコンピュータの構成管理ツールを使用していてもMicrosoftや構成管理ツールのベンダーがサポートしていないサードパーティのソフトウェアにパッチ適用する場合には事前のテストが必要で、仮想サーバーやその他のものへのパッチ適用が見送られることもあるからです。
6月19日に公開された「フォーティネットグローバル脅威レポート」によると、脆弱性情報が最初に公開されてから実際の攻撃にその脆弱性が使用されるまでの時間は、平均4.76日だそうです。
セキュリティに責任ある立場の方は、脆弱性パッチの適用についてどこまで把握されているでしょうか。自社の脆弱性管理が適切に行われているか、この際もう一度点検されてはどうでしょうか。
医療機関へプロテクティブDNSサービスの無償提供を
NISC(内閣サイバーセキュリティセンター)が49億3000万円の予算を投じて、早ければ夏にも無償提供が開始されるプロテクティブDNSサービスですが、医療機関への提供も是非行って欲しいものです。医療機関へのサイバー犯罪は、命にも関わる問題です。Web経由のアクセスだけでなく、医療機器やUSB経由のアクセスが想定されるランサムウェアの感染被害防止にはWebコンテンツフィルタイングよりもはるかに有効なプロテクティブDNSサービスが欠かせません。無償提供は、何かとお金がなく、セキュリティ対策が二の次になりがちな医療機関には朗報となるはずです。
(了)
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
