〇 「閉域網神話」が被害を深刻に、日本のセキュリティー対策の弱点はここだ。
サイバー攻撃被害企業の教訓からは、日本のセキュリティー対策が抱える最大の弱点が浮かび上がる。それは境界型防御への過度の依存やセキュリティー監視不足だ。攻撃者に狙われやすい弱点が残されていないか、今すぐ確認が必要だ。
大阪市の病院、大阪急性期・総合医療センターでは2022年10月31日、給食事業者のシステムを経由して攻撃者が病院内のネットワークに侵入し、電子カルテを含む基幹システムの大部分がランサムウエアによって暗号化された。
病院内のサーバーとパソコンにおけるWindows管理者IDとパスワードが全台で共通であり、初期設定のままだった。そのため内部に侵入した攻撃者は容易にWindowsに管理者としてログオンし、ウイルス対策ソフトを無効化してサーバーを暗号化してしまった。
同センターで医療情報部長を務める森田孝医師は「医療業界には(閉域網は安全という)『閉域網神話』があり、設定や導入、メンテナンスの都合でIDとパスワードを共通にしていた」と悔やむ。
ファイアウオールが記録した攻撃者の動きに気付かず。
もう1つ悔やむのは、同センターのファイアウオールは給食事業者のシステムから侵入を図った攻撃者の動きをログに記録していたことだ。サーバーの暗号化には数時間を要するため、初期の時点で攻撃に気付いていれば、暗号化を防げた可能性がある。しかし攻撃者が活動を開始したのは月曜日の未明のこと。ログのリアルタイム監視はしていなかったため、月曜朝に従業員が業務を始めるまで、異変に気付かなかった。
同センターは攻撃後、IT機器の外部接続の総点検や、ID/パスワード管理の厳格化を進めると同時に、ネットワークを流れるパケット情報からトラフィックの振る舞いを分析することで、攻撃者による不審な動きを検知するNDR(ネットワークでの検知・対応)を導入。外部事業者に委託して24時間体制でセキュリティー監視を行っている。
同センターの内部で稼働する医療機器や医療サーバーの中には、サポートが終わったWindowsを使い続けざるを得ないものやセキュリティー対策ソフトをインストールできないものがある。そのためネットワークのレイヤーで、攻撃者が内部に侵入していないか確認している。
サイバー攻撃被害企業の教訓からは、日本のセキュリティー対策が抱える最大の弱点が浮かび上がる。
脱境界型防御と監視強化が急務。
まず挙げられるのが境界型防御への過度の依存だ。ファイアウオールに守られている内側のネットワークが安全であると考える間違った「閉域網神話」が日本にはまだ生き残っている。
境界内は安全であるとの誤解は、境界内のセキュリティー対策をおろそかにしてしまうという弊害を生み出している。境界内にあるサーバーにセキュリティー対策ソフトを導入しない、サーバーやパソコンのアカウント管理を不適切なままにする、などが弊害の例だ。
セキュリティー対策技術が古いという弱点もある。パソコンやサーバーに導入するのは定義ファイル方式のウイルス対策ソフトだけで、EDR(エンドポイントでの検知・対応)といった標的型攻撃に対応したセキュリティー対策ソフトを導入していない企業や組織は多い。
近年はVPN(仮想私設網)装置のセキュリティー脆弱性を突かれることによって、攻撃者による社内ネットワークへの侵入を許すケースが増えている。しかし境界内のサーバーが適切に保護されていれば、サーバーへの攻撃をある程度防ぐことができる。
VPN装置から侵入されただけで全社的なランサムウエア感染被害が発生してしまう背景には、境界内のセキュリティー対策が不足している現状がある。
セキュリティー運用にも不備。
セキュリティー対策ソフトの導入といった技術面の取り組みだけでなく、日々のセキュリティー運用にも不備がある。
代表的な課題はセキュリティー監視の不足だ。大阪急性期・総合医療センターの事例でも、ファイアウオールは攻撃者の動きをログに記録していた。しかしログを常時監視して、何かがあった場合に即応する体制をあらかじめ整備していなければ、サイバー攻撃は防げない。
情報システム部門がネットワーク構成や社内にあるIT資産を把握できていないという問題もある。セキュリティー対策がグループ会社や事業部、システム単位でバラバラに「サイロ化」されているためだ。
閉域網神話と監視の不足、セキュリティー対策のサイロ化が組み合わされると、最悪の結果を招いてしまう。脆弱性管理などが徹底されていないグループ会社や協力会社に攻撃者がまず侵入し、そこを足掛かりに本体のネットワークに攻撃者が侵入するようなケースだ。三菱電機や大阪急性期・総合医療センターにおけるサイバー攻撃被害が、こうした経緯で始まっている。
攻撃者に狙われる弱点が残されていないか、今すぐ確認が必要だ。
