三ッ林 裕巳氏「日本の医療の未来を考える会」国会議員団代表(元内閣府副大臣、自民党衆議院議員、医師):現在国会では、マイナンバーカードと電子処方箋の連携を進めています。そのシステムを構築していく中でサイバー攻撃が起きれば、医療は停滞します。被害を未然に防ぎ、あらゆる攻撃に耐えられる日本の医療を作る必要があります。
東 国幹氏「日本の医療の未来を考える会」国会議員団メンバー(自民党衆議院議員):医療従事者の確保は、地元・北海道でも大きな課題です。道内で約71万人いるとされる潜在看護師にどうすれば復帰してもらえるか。様々な論議が行われた上で、マイナンバーカードの活用も1つの知恵です。解決に向けて、国の対策は後手になってはいけません。
尾尻 佳津典「日本の医療の未来を考える会」代表(『集中』発行人):2015年、ランサムウェアの被害にあったアメリカの医療機関を取材しました。遅れること数年、日本にもランサムウェア攻撃が入り、昨年には徳島県の公立病院でカルテデータが消滅、システム再構築に2億円掛かるという事案が発生しています。
講演採録
セキュリティ対策には経営者の意識変革が急務
求められる「ゼロトラストアーキテクチャ」
■セキュリティ対策不足のまま変容したIT環境
21年9月28日、日本政府は今後3年間のサイバーセキュリティの柱となる「サイバーセキュリティ戦略」を閣議決定しました。この中で、中国・ロシア・北朝鮮等が関与したと見られるサイバー活動について初めて言及しました。サイバー攻撃を仕掛けている国を公の場で名指して非難する事を「パブリック・アトリビューション」と言い、特にアメリカやイギリスが、ロシア、中国、イラン、北朝鮮に対して行っている政策手段です。日本は初めて国の強い意志を諸外国に示しました。その結果、翌29日に非常に厳しい声明が中国外交部から出されました。
この閣議決定の中で1番に出てくる施策は「経営層の意識改革」で、「IT投資とセキュリティ対策の一体性」について、様々な表現で繰り返し示しています。しかし実際には、IT投資に不釣り合いのセキュリティ対策に留まったり、IT担当に丸投げしてしまったりしている企業がまだ多いのが現状です。
情報セキュリティマネジメントシステム(ISMS)という概念は日本でも広がっており、ISMSの国際規格であるISO27001の認証を持つ日本の企業数は、17年迄は世界1位でした。しかし、セキュリティ投資については違います。他国から見れば、認証資格を取るだけで安心している仮面を被っただけの状態なので、案の定サイバー攻撃が次々に発生しました。
官公庁の公的文書には「サイバー攻撃が高度化・巧妙化した」と示されていますが、攻撃する側だけが変化した訳ではなく、私達も変化しています。SNSの進展によるニーズの変化、会社の合併・買収による組織の変化、コロナ禍によって進んだリモートワーク等働き方の変化、こうした様々な社会構造の変化に伴い、IT環境も変容しました。しかし、セキュリティ対策が不完全なままIT投資だけを進めた為、マルウェアの侵入領域が増えたのです。メール、スマホ、アプリ、外部サーバーやVPN、あらゆる所から侵入して来ます。その後、内部システムにおいてラテラルムーブメント(水平展開)を繰り返します。オフィス内のたった1つのデバイスが侵入され、数十分程度でそのフロアの大半のPCが被害を受けた事例も有ります。
例えば、カフェ等でスマホをフリーのWi-Fiサービスに繋げた後、別の場所に移動する際、スマホのWi-Fi機能を停止させなかった場合、悪意の者により同じ名前で偽のWi-Fiサービスの電波を飛ばされたら、そのスマホは偽のサービスに繋がることが有り、盗聴されてしまいます。これが、ロシアが得意とする「悪魔の双子攻撃」です。
ランサムウェア攻撃では大半がメール経由となる為、ターゲットを企業等、特定の組織やユーザーに絞って送信する「標的型メール」も注意すべき感染経路です。日本企業での主な対策は、社員に「不審なメールを開かないで下さい」と呼び掛け、その開封数を経営層に報告する「標的型メール訓練」が中心です。行政機関においても同様です。しかしこれは、責任を社員に押し付け、効果の持続が期待出来ないセキュリティ対策の1つです。
一方他の主要国では、標的型メールと共に、個人からクレジットカード番号やアカウント情報を盗み出す「フィッシングサイトへの誘導メール」も、ピンポイントで情報を取ろうとする為、脅威が高いと認識しています。そこで組織では、フィッシングメールを報告した人には報酬を与える「フィッシング認識トレーニング」を取り入れています。メールを開いてしまっても構わないという前提で、社員が開いて報告したら0.5ポイント、開かないで報告したら1.0ポイントを付与し、報告率だけを経営層に伝え、高いポイントを集めた部門には無料ランチチケット等を提供するのです。セキュリティ部門はトレーニングが始まる前に、報告率向上に繋がる様な最近の脅威動向を社員に提供し、開いてしまった社員には手厚いフォローアップを提供します。必然的に信頼関係が構築されて行きます。守る組織であるセキュリティ部門とリーダーシップを取る経営層の独立が重要です。
■「分業体制」で激増したランサムウェア攻撃グループ
プログラムに感染したPCをロックしたり、ファイル等を暗号化して使用不能にした後、身代金を要求してくるランサムウェア攻撃は、05年にロシアで発生し、12年にはロシア国内の経済活動に大きな影響を与える迄に進展しました。その為、ロシア当局は法整備を進める等して通信会社やセキュリティ専門事業者との協力体制を強化し、ランサムウェア攻撃グループを一斉に摘発しました。多くの中核メンバーは刑務所に入れられました。その他多くの残党は、12年頃からターゲットを西側諸国に切り替えました。最初はイギリスとアメリカでしたが、ロシア当局による摘発をされない中、次々に新たな攻撃グループが現れ、欧州各国や日本に迄攻撃を拡大させて行きました。しかし、欧米各国はロシアから学ばず放置。17年頃から重要インフラの機能を停止させる迄に被害が深刻化しています。日本では16〜21年、医療機関においてランサムウェア攻撃で診療が止まる事案が起きました。
攻撃が拡大した1番の理由は「分業化」です。ランサムウェア攻撃グループの運営者が、マルウェアの開発や調達、侵害活動等の業務についてネット上で求人を出し、委託するようになりました。マッチングサイト等には「ランサムウェア攻撃を手伝います」という書き込みが数百以上あります。そして、台湾を攻撃するなら台湾に詳しい人材、日本なら日本に詳しい人材を探します。
分業化により急激に能力が向上したランサムウェア攻撃グループは、メンバーの奪い合いやグループ間の争い等が発生するようなりました。最近はそれを避けるかのように、能力の低いグループの増加が目立っています。中小企業や家族経営、個人でも被害に遭うのは、少しでも報酬の高いグループに参加する為に必要な実績作りに使われる事が有るからです。昨年夏頃からは分業化がより本格化し、各分野のエキスパートが委託を受け始めました。弱いグループ程エキスパートとのマッチングを図り、自分達だけでは突破困難な領域のセキュリティ水準をあっという間に超える事が出来るようになりました。
分業の一例に「権限昇格」が在ります。この分野のエキスパートは、アクセス権限が限られた「一般ユーザー権限」ではなく、システム管理者が持つ「ドメイン管理権限」を狙います。PCのシステム全体を支配出来るからです。最近のブラックマーケットで売られているID及びパスワードの約3割はこの管理者権限で、この2年で相場は約11倍に跳ね上がりました。身代金交渉も分業です。昨年3月、サウジアラビアの大企業がランサムウェア攻撃に遭った事件で、攻撃グループの運営者が身代金を要求する交渉人の募集広告を出していた事が判明しました。その企業と関係を持つ同国のデータ復旧企業や、サイバーセキュリティの内部関係者を探していました。相手を良く分かっている人間なら交渉に勝つからです。彼らは単なるハッカーではなく、プロです。長い時間を掛けて様々な情報をせっせと集めています。メーカーやIT部門にセキュリティを丸投げして防げる段階では無くなりました。
経営層には「ゼロトラストアーキテクチャ」という概念が求められます。経営層自らが、組織のネットワークを信頼しないという考え方を持ち、自分の目・耳・肌でリスクを感じた上でリーダーシップを取ります。これが日本のサイバー戦略の本質です。
■世界で際立つ日本のセキュリティ不足
ロシアのウクライナ侵攻が現実味を帯びています。しかし、一部のウクライナの若者は直前迄、危機感を強く抱いていませんでした。それは、数年前からロシアのハッカーがウクライナの若者達のSNSに入り込み、「アメリカからの情報はフェイクニュースだ」という情報を載せ、もっともらしいストーリーを展開して「ロシアは友好国だ」と言わんばかりの影響工作を行っていた事が1つの要因です。これが北大西洋条約機構(NATO)が昨年出した「6番目の戦場(認知戦)」です。
今はゲームやアプリ等、様々なサービスから情報を得る時代です。そこに相乗りして、人々の目や耳から思考回路を変え、「脳をハッキング」するかの如く意識と行動を変容させる事に成功し始めています。「不審メールを見つけたら、直ぐにメーカーに伝えましょう」というお花畑な方法を取るのは日本くらいです。
日本には、欧米各国が整備済みの「サイバー攻撃の脅威から国家を守る法律に基づいた組織」が有りません。その為、セキュリティコントロール不足が際立っており、中国・ロシアのサイバー脅威が高まる中、日本に情報提供したいけれども、日本政府や重要インフラ事業者の情報保全が他国の要求レベルを満たしていない所が有る為、提供に困難を感じています。欧州の一部地域では、サイバー事案で国民の生命や身体に深刻な影響が出る恐れが出てようやく、セキュリティの態勢作りに乗り出しました。日本では、震災対応以外、政府が動き出すまでかなりの時間が掛かります。どうか、自分の組織は自分で守る行動を取って下さい。
質疑応答
尾尻 「認知戦」の事例は過去にありますか。
名和 第2次世界大戦で、我々の先輩達が経験している筈です。アリメカでは、ハリウッドやディズニーアニメが映画館で映画を通じて戦争のプロパガンダを一生懸命行いました。今は、映画館の代わりにスマホが有ります。SNSやチャット等、皆さんが見に行く先に情報を置いておくだけで、一部はその内容に染まり、「コロナは嘘だ」「マスクは悪だ」と言っています。思考回路が変わってしまうので、説得しても聞く耳を持ちません。致し方ない事なので、私はスマホをあまり使わないようにしています。
本間之夫・日本赤十字社医療センター院長 フィッシング認識トレーニングをした後、経営層は何をしたら良いのでしょうか。
名和 先ず、サイバー攻撃の脅威を自らの目で見て怖いと思う事です。どうして怖いと思うかを理解すると、自ずと何をやるべきかが見えて来ます。攻撃者は1つの攻撃パターンを他でも使いたがるので、毎月上がって来る不審メールの報告書を見ていると、やり口が見えて来ます。
土屋了介・公益財団法人ときわ会顧問 従来のカルテとクラウド上で管理するカルテ、セキュリティの問題からすると、医療機関は今後どちらの方向へ進めば良いのでしょうか。
名和 残念ながら、それに対する回答は有りません。クラウドサービス事業者は、家族経営的な物からアマゾンのような大規模事業者まで様々です。クラウドがアメリカや日本の物か中国の物かという問題も有ります。クラウドとは逆に、会社が自前でサーバーやネットワークを用意して運営する、オンプレミスも有ります。どの選択が安全かは、会社毎の規模や業務内容によってバラバラで、それぞれにリスクが有るので、全部把握して判断するのは至難の技です。ただ現在、サイバー攻撃の発生確率が格段に上がっているのは事実なので、どのように安全を担保するかは、最終的には経営層が内情をよく分析した上で判断して下さい。
落合慈之・NTT東日本関東病院名誉院長 今はスマートフォン無しでは生きて行けない時代です。生活において一般市民が出来るセキュリティ対策や、気を付けるべき行動を教えて下さい。
名和 1点だけ有ります。スマートフォンやアプリを購入する際、提供会社が公表している約款、利用規約、プライバシーポリシーをよく読む事です。特に、新しいアプリをインストールする前に読む事が重要です。読んで理解すると、先ずそれを使って良いかどうかの判断が出来ます。使う場合は、何に配慮して使うべきかが分かります。それが面倒なら、なるべくアプリを入れないのがベストです。リスクをゼロにする事は不可能でも、攻撃者の観点からすると標的として見つけにくくなり、攻撃が発生するリスクはぐんと減ります。徹底的にプライバシーポリシーを読むだけで十分です。個人で出来る対策には限りが有るので、知った上でそれぞれのレベルで行動する事が重要です。例えば私は、一般的な目線で見たらやり過ぎの面も有りますが、カメラに盗撮防止シールを貼ったり、盗聴防止でマイク機能を切ったりしています。
金城悠貴・済生会横浜市東部病院医療支援課医療企画室室長 以前、病院で院内SEをしていました。病院の電子カルテの在り方として、院内にネットワークを2系統敷く方法が一般的です。電子カルテのネットワークとインターネットに繋がるネットワークを分けて、医療情報は全てクローズドなネットワークに入れて、カルテの情報を守るという理論です。これは専門家から見て、セキュリティレベルとして高いのでしょうか。もう1点質問です。今後デジタルトランスフォーメーション(DX)を進める上で、2つのネットワークを繋げるべきと私は思っています。しかし、それをやろうとすると、セキュリティレベルを保つ為には攻撃者より高いスキルを持った人材を病院が抱えないといけなくなり、現実的では有りません。「セキュリティ対策は外注するのも危ない」というお話でしたので、2つを繋げるのはまだ未来の話で、医療DXが進まなくなるのではないかと思っています。解決策があれば教えて下さい。
名和 クローズドネットワークという、いわゆるインターネットから隔離された状態のネットワークは、サイバー攻撃に対しては非常に強いです。但し条件が有ります。メンテナンスは一切しない。不具合は自分達で直す覚悟を持ち、壊れてもメーカーを呼ばない。ネットワークには追加デバイスを未来永劫一切繋げない。間違って誰かが繋げてしまわないよう全部に監視カメラを付ける。そうすれば安全ですが、現実的には難しいです。トラブルの際にメーカーを呼ぶと、彼等はインターネットに繋がった事の有るデバイス等を持って来ます。繋げていないと説明を受けたとしても、アップデート等の為に繋げた事は有る筈です。又、インクの減り具合等を確認する為に、プリンター内部に携帯電話と同じ様なSIMカードがこっそり入っている事が有り、それが感染経路となる事さえ有ります。セキュリティチェックから感染した事例は実際に起きています。バックドアを使ってWi-Fiを勝手に繋げる攻撃手法も有りますし、有事の際に外部機器からマルウェアを忍ばせて、一定期間後に発動して破壊させるマルウェア感染の事例は、正に今ウクライナ国内で発生しています。しかし、PC本体だけでなく、PCに繋げるデバイスも全てオフライン且つメンテナンスゼロにするのは厳しいです。ですから、外部のネットワークにも、インターネットと繋げる時と同等のセキュリティレベル対策や厳しいアクセス確認をして、安全性を確保して下さい。この考え方が「ゼロトラストアーキテクチャ」です。アメリカでは17年頃から本格的に議論されていますが、広く浸透するには5〜10年は掛かります。
金城 攻撃者側にとって、カルテ等の医療情報はそれ程高く売れる情報なのでしょうか。
名和 高く売れるかどうかという問題以前に、「それを使えなくすると、人の命を守る事を継続出来るのか」に彼らは着目します。「売る」のは次のステップです。病院、鉄道、空港等、国民にとって生命、身体、財産に大きな影響を与えるサービスを提供している機関は、狙われ易いです。
山本修一・地域医療機能推進機構本部病院支援担当理事医療業界からすると、IT系の人件費は高く、優秀な方に来て頂き辛い環境にあります。
名和 内閣官房サイバーセキュリティセンターは昨年9月、「ITやセキュリティに関する専門知識や業務経験を有していない場合にも、適宜に応じてプラス・セキュリティ人材を補充出来る環境整備を推進する」という表明をしました。「プラス・セキュリティ人材」とは、専門外の社員が、一般業務をしながらセキュリティに関する知識の習得を目指す事です。今回は、上場企業に対する経営層と同じレベルでお話しをしています。もし内容や概念で理解が難しい点が有れば、正にプラス・セキュリティ人材を補充出来る環境を経営層で整備する必要が有ります。又、お金が無いという点については、未だ深刻なサイバー攻撃を受けていない会社に多く見られる反応です。政府や東京都からこっぴどく怒られ、記者会見を何回もしたような会社の経営層は「幾らお金を出しても良いから、良い人を紹介して欲しい」と言います。リスクを把握し、正しい危機感を覚えると投資を惜しみません。1つの解決策として、アメリカでは病院が共同でサイバーセキュリティ人材を雇い入れる試みが行われています。週1回2時間で十分にアセスメントが出来、次の週にはきちんとレポートに纏めてくれます。不明点はディスカッションしながら解説してくれます。複数の病院が共同で雇えば、専門家の年収に相応しい金額が支払えます。
LEAVE A REPLY