ITシステムは“転んだとき”のことを考えよう DXとセキュリティは両輪で進めよ：半径300メートルのIT

最近はITに詳しくない人でも「ランサムウェア」という言葉を聞く機会は少なくないでしょう。ここまでサイバー攻撃が身近になった今、従来の侵入を防ぐセキュリティ対策だけでは不十分だと筆者は言います。

[宮田健，ITmedia]

　先日、あるラジオを聴いていたら、電子メールでの募集テーマ「行列に並びました」の中で、トラック運転手の方が港に届くコンテナを効率良く受け取るために朝から並んでいるというお話を取り上げていました。驚いたことに、その投稿者は名古屋の方で、2023年7月4日に発生した名古屋港におけるランサムウェア攻撃の被害者でもありました。当時の話が軽く触れられており、その日は考えられないほどの“行列”ができたとのことです。

　同被害に関しては名古屋港運協会から報告書が公開されていますが、実際の被害者の一人であるトラック運転手の“生の声”を聞く機会は大変貴重だと思います。お話のトーンとしては名古屋港運協会への恨み節というよりは、運転手不足が予想される「物流の2024年問題」に向け、IT化を進めた結果のリスクの一つとして受け取られており、ランサムウェア問題の一般層への認知を感じさせる内容でした。

名古屋港統一ターミナルシステムにおける障害の報告書（出典：筆名古屋港運協会が公開したPDF）

“侵入を防ぐ”という考え方は過去のものとなりつつある

　今、多くの企業がデジタルトランスフォーメーション（DX）の名の下に、さまざまな処理にITを導入して自動化を進めていますが、これはすなわちITが使えなくなったときに業務が止まってしまうことを意味します。

　物流の2024年問題は、2024年4月からトラックドライバーの時間外労働の960時間上限規制が始まることで輸送能力が不足するというもので、これを改善する手段として、業務効率の改善に向けたシステム改修も含まれているでしょう。全日本トラック協会のサイトでも、荷主とトラック業者は「情報の共有化、DXによる業務効率化など」が環境改善の手段として挙げられています。

知っていますか？　物流の2024年問題（出典：全日本トラック協会のWebサイト）

　サイバー攻撃の高度化が進み、侵入を食い止めることが難しくなり世界各地で被害が広まっていることはご存じの通りです。最近ではVPN機器の脆弱（ぜいじゃく）性を悪用されたり、ID／パスワードなどの認証情報が盗まれたりすることなどがシステム侵入の主要な要因になっています。

　ウイルス対策ソフトやUTM（Unified Threat Management）による防御など従来のセキュリティ対策は今でも有効ですが、上記のような攻撃手法が広まる中、これだけでは十分ではありません。

　こうした現状においては、“侵入”を防ぐことに注力するという考え方をあらためる必要があるでしょう。最近では「サイバーレジリエンス」という言葉が注目を集めています。これはシステム、企業全体が「復元する力」を持ち、侵入されても平常状態にすぐに戻り、事業を継続できるという考え方です。これは特定のソリューションを利用するというよりも、企業がシステム運用に対しどのような戦略を持つかということに近い考え方です。

　かつて注目された、「事業継続」を災害だけではなく、サイバー攻撃でも適用しなければなりません。

病院の約半数がシステムダウン時のマニュアル整備が不十分

　先日開催された日本発のセキュリティイベント「CODE BLUE」では、海外の病院で発生したランサムウェア攻撃が地域全体にどのような被害をもたらしたかというセッションがありましたが、これが非常に示唆に富む内容でした。

　登壇した2人の“ハッカー医師”、ジェフリー・タリー氏とクリスチャン・ダメフ氏はランサムウェア被害に遭った病院だけでなく、近隣病院にも外来が増える、緊急搬送が増えるなどの影響が発生することを指摘しつつ、「そもそもサイバー攻撃による影響以外にも、計画停電をはじめシステムダウンする要素はある。しかし、そうした一般的事由を含むシステムダウン時の手順書がない、整備されていない、守られていないという病院が全体の46％を占めていた」と述べています。

　「システムにはダウンタイムがある」というのは、言われてみれば当たり前の話です。病院以外の業種もそうですが、人命に関わる病院であればなおさら、サイバー攻撃とは無関係に、ダウンタイムが発生しても事業全体を停止させずに動かす方法をあらかじめ考えなくてはなりません。

DXでシステム依存度が高まるのであれば「セキュリティ」も必須

　これが、DXにセキュリティがあらかじめ組み込まれていなければならないという大きな理由だと思います。かつてセキュリティは「後工程の最後、予算が余っていたらやる」くらいの重要性だったかもしれません。しかし効率化のためにシステムが事業の中に密接に組み込まれた今、“もしそれが止まってしまったとしたらどうなるのか”までをしっかりと設計しておく必要があります。

　つまり、もはや設計段階で「脅威が侵入しないようにする」というだけでは不十分です。ゼロトラストへの移行も難しい以上、「脅威が侵入しても検知・対処できること」、そして「いち早く通常状態に戻せること」が重要となるはずです。その時、通常状態というのがITシステムを元通りにすることだけではなく、かつてのように紙を使い、アナログな手法であったとしても業務を遂行するということも想定できるかもしれません。その意味では、そういった泥臭い方法でもバックアッププランがあるというのは、DXではないかもしれませんが重要です。

　名古屋港のランサムウェア被害は大きく取り上げられましたが、わずか3日ほどで復旧して業務を再開していたことも、システムの規模を考えるともっと注目されていいと思います。個人的に、日本企業はセキュリティ対策もそれなりに進んでおり、復元力を持っていると実感したインシデントでした。

　事業継続を強化するという視点であれば、経営層も関心を持ち巻き込めるはずです。いつ、あなたの企業のシステムにランサムウェアが来るかは分かりません。その前に、できる限り準備を進めておきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。