現実的ではない、利用者側による脆弱性管理
はい、これまで記事の題材としてサプライチェーンに関連した攻撃の話を進めてきました。ですが攻撃がなくならない理由、翻って攻撃を防御できていない理由にも、サプライチェーンが絡んできます。
前回の記事でお伝えした、つるぎ町立半田病院と大阪急性期総合医療センターの事例もそうですが、テクニカルに見るとVPN装置の脆弱性が放置され、侵入されてしまったというだけのことでした。これについても以前の記事でお伝えした通り、手口はかなり前から明らかになっています。
しかしこういった被害が起きてからも、長期間その手口が使われ続けているのはなぜか。攻撃を受けた被害者側から見れば「脆弱性を放置してしまった」ということになりますが、では「誰にその責任があったのか」という話を今回いたします。
一般論としてVPN装置を使うのであれば、それを使うユーザー側に責任があるというのが現在主流の考え方です。使うのが病院だったら病院、企業だったらその企業に責任がある。
その組織の IT ネットワークに対してその使う利用者側が、主体的にセキュリティというものを考えて目配りをして、VPN装置を入れるのであれば「そのセキュリティ対応はどういう状況になっているのか」については、“利用企業側が責任を持つべきである”。このような構図になっています。
様々なセキュリティインシデントが起こると、利用者側(前述の半田病院の件でしたら病院側)が記者会見をして「大変申し訳ございません、以後気をつけます」ということになります。
ただ私には、こういった“利用者側が全責任を負う現況について無理があるのではないか”と思っています。というのも、半田病院は徳島県つるぎ町というその地方の基幹病院でして、お話を伺うと、その地域で出産をする際はその病院に行くしかないという状況なんだそうです。
その上で病院の規模としてはそれほど大きくなく、またIT担当者が一人しかいないといった状況でもある。ですので、この事例は日本の小規模な組織の参考になると言えます。
繰り返しになりますが、小規模な企業あるいは病院などが「自らセキュリティに主体性をもって、目配りをしてもれなく対策をする」というのは無理な要求です。ですので、こういった小規模組織がセキュリティ対策を行うにあたっては、もう少し現実的な対応をする必要があります。
