SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

どうしてサプライチェーンを突かれてやられてしまう?病院事例から見る、VPNとセキュリティの関係

【徳丸浩が斬る、セキュリティのイマ:第2回】セキュリティサプライチェーンとVPN


 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。EGセキュアソリューションズの取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第2弾。今回のテーマは「どうしてサプライチェーンを突かれてやられてしまう? 病院事例から見る、VPNとセキュリティの関係」です。昨年日本のセキュリティ被害でも大きく注目された、サプライチェーンの穴を突いたサイバー攻撃。今回は、徳丸氏がそのサプライチェーンの意味を定義しつつ、なぜセキュリティインシデントが発生してしまうのか。その要因について解説します。

病院の事例から見えるインシデント要因

 はい、前回の記事ではVPNの脆弱性を狙った攻撃に、サプライチェーンが関わっていることについて言及しました。今回の記事では、まずはサプライチェーンが関わっている、具体的な攻撃事例についてお話出来ればと思います。

 取り上げるテーマとしては、昨年問題になった病院のランサムウェア感染事例です。「わが社は病院じゃないし」と思われるかもしれませんが、これを取り上げる理由は2つあります。

 1つ目の理由は、いずれも被害にあっている病院は中堅企業ぐらいの規模感の組織であるということが挙げられます。攻撃者は病院であるとか、一般企業であるかというのは特に考えずに攻撃してきます。むしろ「本来であれば病院は避けたい」と考えているようです。病院を攻撃すると、世論や法執行機関から「あいつら病院を攻撃するなんて」と非難されたり目を付けられたりします。ですので、攻撃者もそこは若干気にしていたりします。

 なので病院をことさら狙っているわけではないと思います。あくまで金銭が目的で、「攻撃先として候補に挙がったから攻撃してみたらそれが病院だった」ということです。話を戻しますと、攻撃を受けた病院の規模感は、日本における企業全体の99%以上を占める中小一般企業の規模に近しく、組織の大きさとして参考になる。これがテーマとして取り上げる理由の一つです。

 2つ目の理由は、攻撃を受けたのが公的な病院ということで、説明責任が生じ、手口などが公表されている点です。これが一般企業ですと、「これこれの手口でこういう管理上の不備がありまして」というのは公表されず、会社からしても公表したくない。

 個人情報が何件漏れたかくらいは法律の定めで公表しますが、具体的な手口などは公表しない。せいぜい「このVPN装置がやられた」くらいで、どういう管理体制の不備があったかまでは公表されない、もしくは一切されないことも多いです。

 しかし病院の中でも、公的な病院は再発防止や説明責任的において、たとえば調査委員会的なものが立ち上げられることで、わりとその内容は公表されています。そして、これは社会的に非常に価値の高いものでもあります。以上の2点から、病院における被害事例を取り上げたいと思います。

次のページ
どちらも、実はVPNの脆弱性が起因

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17511 2023/03/24 10:29

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング