Security Online Column

IT推進最大の障壁　低い情シスの地位が生む、日本組織の悲劇

2022/08/02 08:00

通知

　リモートワークの拡大やウクライナ情勢の背景もあってか、日本国内でのサイバー攻撃被害の報告は後を絶たない。ネットワークの世界では国境がない中、どうセキュリティを守るかについて多くの日本企業が頭を抱えているものの、その根底には大きな問題が潜む。そこで立命館大学情報理工学部上原哲太郎教授に、日本が抱えるサイバーセキュリティの問題と、その要因について取材した。

通知

地位が低い情シスの立場

　日本では古くから、「水と安全はタダ」と揶揄される。昨今のサイバー攻撃やウクライナ情勢により、多少ながら「安全」への意識が変化しつつあるものの、それを担う人々の地位は依然として低いままだ。特にサイバー攻撃に関しては、情報システム部門（情シス）次第で被害の局限は大きく左右される。もっとも、上原教授によれば日本における情シスの地位の低さこそ、日本のIT化における課題の温床であると指摘する。

上原哲太郎教授（以下、上原教授）：今年2月にサイバー攻撃を受けた小島プレス工業や各病院のサイバー事案を見ていて感じるのは、ユーザー企業における情シスの地位が低すぎるという点です。

　たとえば、情シスの人たちが「言われたことは頑張ってやります！」としているとする。しかし、その自分たちの情報システムを守るため、会社の上層部へ「システムを守るにはこれをやらなくてはいけません」だったり、「これに投資しなくてはいけません」という説明と予算の確保、その発言通りに実行するための力。これらを持つ組織や企業は少ないというか、恵まれた企業だけのように見えます。

　情シスの地位が低い、もしくは発言が軽んじられてしまうことでどんな問題が起きているのか。上原教授によれば、それは特に医療現場において深刻だという。　

上原教授：特に病院の場合は本当に大変です。なんだかんだ言っても経営は診療点数に左右されるわけですから、電子カルテに関しては多少の上乗せがあるにせよ、医療システム全体のセキュリティ対策というところでのインセンティブが弱い。

　本来は「電子カルテに移行しましょう」という流れから、「それを守るためにはどうしましょう」というシステムへの投資につながらなければならない。しかし現状は、上流下流の整備のために丸め込んだ費用の形でしか予算立てや執行もできないというのが実情です。

　しかも執行するにしても、結局病院側に専門家はほとんどいないため、いわゆる“コンサル”を入れ、“電子カルテ業者”に丸投げするような形のため、予算は増えません。とはいえ、川上の電子カルテ業者から川下の下請け業者それぞれが皆レベルが高いかというと、残念ながらそうではない。

　昨年10月に起きた徳島県の半田病院の件でも、広く知られたVPN機器の脆弱性が放置されていたという話でした。また、私が第三者委員会で入った奈良県の宇陀市立病院では業者のスキルが十分では無かったために、セキュリティを守れる体制がほとんど取れていなかった。もっとも、この件は恐らく利用者側つまり病院側のセキュリティのポリシー違反がどこかにあったと考えられ、すべて業者側に責任があったという訳でもありません。本来ローカルで外部につなげてはいけない回線を、恐らく誰かがテザリングか何かで一時的にインターネットにつないだ状態にしてしまいやられた可能性が高いです。

　さらに病院の構造的な問題としては、電子カルテや医療情報システムのメインユーザーである医者に対しては、ガバナンスをどうしても効かせにくいことがあります。セキュリティ対策として定められたポリシーを守ってくれるかというと、医療行為の都合を優先されて守られない場面もある。さらに、専任の人だけではなく、非常勤の方も数多くいらっしゃる。

　特に、救急指定病院などでは夜勤のために非常勤職員を多く雇用しています。こういう体制もあってか、現場では「セキュリティ対策の徹底はできない」という状況だった。そのため、サイバー攻撃でやられてしまうのです。

　確かに病院では、日々の患者への対応や緊急時の措置など極限的な環境に置かれているため、利便性を重視する傾向にある。アメリカのラピッドセブン社のレポートによれば、医療現場では多要素認証（MFA）のための数秒の入力時間や、パッチ適用に必要な数時間のダウンタイムといったセキュリティ対策が業務の妨げになる場合があるという。もっとも、特殊な労働環境が逆に脆弱性を生んでしまうのは病院だけでは限らないため、こうした医療現場でのサイバー事案はあらゆる組織にとって示唆に富む。

　もっとも、なぜ近年こうしたサイバー攻撃が病院を含む各組織で問題になってきたのか。そこには、現状維持に安心しがちな日本の組織特有の問題が潜んでいる。

上原教授：いずれにせよ、これまで十分なスキルのない情シスのケアでなんとか持ちこたえていたのは、いわゆる「境界線防衛」というものを徹底していたからでした。医療情報システムのファイアウォールによる遮断やインターネット接続の回避などをずっと行ってきましたが、最近ではそういった対策が通用しなくなり、結果的にサイバー攻撃やインシデントが起きています。

　生存バイアスというか、「境界線防衛で今まで大丈夫だったからいいじゃないか」だとか「何ごともなくちゃんと今まで動いていたのだから、下手に触るな」という話を数多く聞いています。しかし防御側が境界線防衛に頼っているうちは、攻撃者の立場としてはどこかに崩せる点があればもうそこでアウトですから。病院に限らず、現在の日本の組織ではそれを繰り返してる印象がありますね。