特別対談

  1. ホーム
  2. 特別対談トップ_page 01
  3. page 03

サイバーレジリエンス時代に求められる
ネットワークフォレンジックス

03ウイルスの大規模感染は防げるのか

イメージ

【 この対談は2019年10月に開催され、記事内容は当時のものです。何卒ご了承ください。 】

藤原
2017年5月、ランサムウェア(身代金要求型ウイルス)の「Wannacry」が非常に脅威となりました。様々な組織のPCが「Wannacry」に感染し、PC内のデータが暗号化されたことでシステムが止まるなどの被害が発生しました。特に、海外の病院では医療業務が停止するなど、人命に関わる事態が起こったと記憶しています。
2017年ですから、サイバーセキュリティに関しての意識向上や、対策は前進していたと思いますが、それにも関わらず致命的な事象が起ってしまいました。
これに対し、防御策はあったのでしょうか。何が足りなくて、今後どのような対策が必要でしょうか。
門林
イギリスのNHS(国民保険サービス)のWannacry大規模感染事案に関しては、イギリスの会計検査院から報告書が出ています。それによるとパッチ(ソフトウェアの脆弱性を修正する更新プログラム)を適用していれば感染を防げたそうです。しかしながらイギリス各地にあるNHSの拠点には、パッチが適用できていないといった不備のある拠点も数多くあったそうです。
藤原
セキュリティのためにパッチを適用することは、コンピュータを使っている方であれば常識になりつつあると思います。それにもかかわらず、なぜ人命を扱う病院で適切に行われてなかったのでしょうか。
門林
報告書によると、あの事故は防げたという結論です。事前にNHS Digital(国民保険サービスのデジタル部門)が警告を発していましたし、CareCERTという医療向けのCERT(コンピュータのセキュリティ事案に対応する組織)もあり、そこからも警告は出ていました。
ただ病院では、業務の優先順位があります。人命救助が第一で、コンピュータのパッチ管理は二の次三の次になりますので、それが原因だったのではないかと言われています。
もう一つは、サイバー攻撃に対する演習を行ってなかったことが挙げられています。こうした事故が起きることを想定し、防災訓練の様な演習を行っていれば、責任の所在が不明確にならず、もう少し早く対処できたのではと言われています。
藤原
病院で使われるシステムは、医療機器として認証機関の承認を受ける必要があります。パッチを適用すれば事故が防げるとしても、医療機器としての機能に影響がないのかなど、パッチの適用が難しいシステムだったのかもと想像しています。
そういったパッチを適用することが難しいシステムは、どのようにして対策すれば良いのでしょうか。
門林
パッチを適用できないシステムに関しては、「隔離」という方法があります。
工場ではよく見かけますけど、システム的に完全隔離した環境の中で、古いWindowsが動いているケースがありますよね。ただ、それが本当に完全隔離されているのかは、検討ポイントになります。よくよく調べてみると、隔離されているはずなのにメンテナンス回線が外部に繋がっていた…などということもあります。
日本の病院では、回線を3系統ないし4系統に分離して隔離しているはずですが、よくよく調べると現場の都合で外部と繋がっている…などということも考えられます。
藤原
例えば、医師がUSBメモリでデータを持ち歩いていて、何気なしに近くにあったPCに接続してしまうこともありえますよね。
門林
医師にも、正しくリスクを伝えれば理解いただけるとは思いますが、セキュリティについて頭の片隅で理解しつつも、データを持ち歩くことで人命救助への時間が短縮されるとなれば、医師向けの対策は難しいですよね。分かりやすく、無意識に対策できるようにしなければなりません。
藤原
人は「急いでいる」とか、ちょっとした誤解などで、安全でない行為を無意識に行ってしまいますよね。そこは、システムが上手くサポートしたり、できないような仕組みにしていく必要がありそうです。
門林
医療機器に関して言えば、日本の厚生労働省にあたるFDA(アメリカ食品医薬品局)が、サイバーセキュリティの「市販前ガイダンス」と「市販後ガイダンス」を出しています。
市販前には正しく脆弱性検査をしなさいとか、セキュアプログラミング(ソフトウェアを安全に開発する方法)をしなさいとか、セキュアバイデザイン(セキュリティを前提としたソフトウェアの設計)を採用しなさいといった内容が、2016年あたりから述べられています。
また、去年(2018年)出た市販後ガイダンスでは、パッチ管理をやりなさいとか、セキュリティアップデートをやりなさいといった内容を、医療機器を作るベンダーに対して求めています。
藤原
一度、医療機器の認証番号を取ったら放置するのではなく、パッチ監理やアップデートを行うことでセキュアに運用できるようにすることを、ベンダーも求められるようになってきたということですね。

Next Page » レジリエンス文化を広める

プロフィール
人物 門林 雄基 (かどばやし ゆうき)
奈良先端科学技術大学院大学 情報科学研究科 サイバーレジリエンス構成学 教授
2009年より国際電気通信連合電気通信標準化部門(ITU-T)においてサイバーセキュリティの国際標準化に従事、2013年より同作業部会ラポータ(主査)。
サイバーセキュリティに関する日欧国際共同研究プロジェクト「FP7NECOMA」研究代表者、独立行政法人情報通信研究機構「サイバーセキュリティ研究センター」招聘研究員などを務める。
人物 藤原 礼征 (ふじわら ひろゆき)
トーテックアメニティ株式会社 トーテックサイバーセキュリティ研究所 所長
1974年生・大阪府出身。大阪大学基礎工学部卒業後、大阪大学大学院基礎工学研究科に進むと同時に会社設立。
ソフトウェアアーキテクトとして、ソフトウェアの設計・開発の技術力に内外からの厚い信頼があり、様々な会社や研究機関において研究開発や製品開発に携わる。
2012年「トーテックサイバーセキュリティ研究所」所長に就任。