CHECK
01
境界防御の過信を止め、ゼロトラストに基づいた多層防御へ
閉域網であっても、VPN装置のような外部との接続点が一つでもあれば、そこが侵入経路となり得ます。今回の事例は、「境界の内側は安全」という従来の境界防御モデルの限界を明確に示しています。
対策として、全ての通信を信用しない「ゼロトラスト」の考え方に基づき、多層的な防御を構築することが不可欠です。具体的には、VPN装置のセキュリティ強化(多要素認証、脆弱性管理)はもちろんのこと、侵入を前提としてネットワーク内部での不審な活動(ラテラルムーブメント)を検知・遮断するEDR (Endpoint Detection and Response) やNDR (Network Detection and Response) の導入が有効です。また、Active Directoryの監視を強化し、特権アカウントの不正利用を即座に検知する仕組みも被害拡大を防ぐ上で極めて重要です。
CHECK
02
外部接続機器の脆弱性管理とアクセス制御の徹底
本件の侵入経路となったSSL-VPN装置は、サイバー攻撃の標的として頻繁に狙われます。保守用やリモートワーク用など、外部からアクセス可能な機器については、常に最新のセキュリティパッチを適用し、脆弱性を放置しない運用を徹底しなければなりません。
さらに、ID/パスワードのみの認証に頼るのではなく、多要素認証(MFA)を必須とすることで、認証情報が漏えいした場合でも不正アクセスを防ぐことができます。また、保守作業時など、必要な時間帯・担当者にのみアクセスを許可する最小権限の原則に基づいたアクセス制御を行うことで、リスクを大幅に低減できます。
CHECK
03
事業継続計画(BCP)におけるサイバー攻撃シナリオの具体化
この病院が、ランサムウェア感染後に速やかに紙カルテ運用へ移行し、診療を継続できた点は高く評価できます。これは、サイバー攻撃を想定した事業継続計画(BCP)が機能した結果と言えるでしょう。
全ての組織は、基幹システムがサイバー攻撃によって停止することを想定した具体的なBCPを策定し、定期的な訓練を実施すべきです。特に、ランサムウェア対策としては、身代金を支払わずに復旧するための最終手段となる「オフラインバックアップ」の取得と、そこからの復旧手順の検証が不可欠です。バックアップデータがネットワークから物理的または論理的に隔離されていなければ、本体データと同時に暗号化されてしまい、意味をなさなくなります。
CHECK
04
インシデント発生後の迅速な情報公開とステークホルダー連携
インシデント発生当日に公表し、関係機関へ報告した病院の対応は、被害者や社会に対する説明責任を果たす上で模範的です。有事の際に混乱なく動くためには、平時からインシデント発生時の報告・連絡体制(エスカレーションルール)を明確に定めておく必要があります。
誰が、どのタイミングで、どの部署や関係機関(監督官庁、警察、セキュリティ専門機関など)に報告し、どのような情報を公開するのかを事前に定義しておくことで、対応の遅れによる二次被害や信頼の失墜を防ぐことができます。外部の専門家や弁護士を含めた連携体制をあらかじめ構築しておくことも、円滑なインシデント対応に繋がります。
