医療機関の教訓を生かせ 2023年度中に確認すべきランサムウェア対策：半径300メートルのIT

多くの国内企業が企業規模に問わずランサムウェア被害に遭っています。もはや「ウチには重要な情報はない」だとか「ランサムウェア対策は何からすれば……」などとは言っていられない状況です。すぐさま対策に移るための秘策を紹介しましょう。

[宮田健，ITmedia]

　最近、大企業や中堅・中小企業がサイバー攻撃の被害に遭ったという報告を多数挙げています。社内の情報が奪われるだけでなく、クラウドサービスそのものが停止するケースもあり、甚大な被害が生まれています。

　同一の脅威アクターによる何らかの攻撃キャンペーンとは思えませんが、あまりにも被害報告が多いため、明日は我が身どころか、既にサイバー攻撃を受けていることを想定して対策を練る必要があるかもしれません。

　身近なところとしては、サイバー攻撃者からしばしば標的にされるFortinet製のネットワーク機器から、脆弱（ぜいじゃく）性についての注意喚起が公開されています。それによると「本脆弱性を悪用された場合、認証されていない遠隔の第三者によって細工したリクエストを送信され、任意のコードまたはコマンドを実行される可能性がある」とされており非常に危険です。回避策が公開されているので、まずはしっかりと対策を講じましょう。

「ランサムウェア対策、何からやれば……」とかもう言ってられない

　厳しい言い方になりますが、ランサムウェア対策についてはもはや一刻の猶予もありません。インターネットにつながるという条件を満たしていれば、あなたの企業システムも立派な攻撃対象になる可能性があります。

　近年のランサムウェア攻撃はもはや暗号化だけを目的としていません。マルウェアに感染させた後、システム内部をチェックしてネットワーク内にある情報を根こそぎ奪い、それを外部に公開しようとするだけでなく、DDoS攻撃でシステムをダウンさせると脅して身代金を要求してきます。ランサムウェア攻撃はシステムやネットワーク、そして人の全ての要素を攻撃対象としているため、総合的な対策が必要となります。一要素でも対策が弱ければ、そこが穴になり狙われるかもしれません。

　ただ、そんなことを言われてしまうとさらに萎縮してしまうかもしれません。「やるべきことは数多くあるが、何から手を付ければいいのか分からない」という状況だと、理解できるようになってから手を付けようと考えがちです。しかしそれでは、いつまでたってもそのきっかけが来ないでしょう。そこで今回は、日本で最も切羽詰まった業界から公開されている、大変ありがたい資料を使わせていただきましょう。

　厚生労働省は2023年6月、“医療情報システム”に関する、安全管理のチェックリストを公開しました。下記のページの「医療機関におけるサイバーセキュリティ対策チェックリスト」を参照してください。

今回ピックアップしたいのは「医療機関におけるサイバーセキュリティ対策チェックリスト」（出典：厚生労働省のWebサイト）

　このチェックリストは医療機関やIT事業者に対して、最低限チェックすべき項目を示したものです。医療情報システムといえば、ランサムウェアによる大きなインシデントが立て続けに発生したことが記憶に新しいでしょう。それをきっかけに、厚生労働省もさまざまな対策を講じています。その一つとして公開された同チェックリストは、医療業界だけでなく全ての現場で活用できるように作られています。

医療機関におけるサイバーセキュリティ対策チェックリストの内容。2023年度中に確認すべきことや2024年度に向けた参考となるリストも挙げられている（出典：厚生労働省発行のPDF資料）

　チェックリストの中では、「サーバや端末PC、ネットワーク機器の台帳管理を実施している」「リモートメンテナンス（保守）を利用している機器の有無を事業者などに確認した」といったシステムそのもののチェック項目に加えて、「インシデント発生時における組織内と外部関係機関（事業者や厚生労働省、警察など）への連絡体制図がある」といった体制に関する項目も挙げられています。

　ごく一部、医療業界向けに書かれている箇所もありますが、皆さんの業界における外部関係機関などに読み替えることで、普遍的なチェックリストとして使えると思います。

　本チェックリストの内容は本当に「基礎」と呼べるもので、それだけに全てが重要なポイントです。特に資産管理がしっかりと実行されているかどうか、リモートメンテナンスが狙われていたことを受け、それを事業者に確認済みかどうかをチェックする部分については、ぜひ皆さんの組織でも同じことを確認してほしいと思います。これらが本当に確認でき、実施できていたとすれば、大抵のサイバー攻撃であれば防げるような対策が講じられているといっていいでしょう。

「製品を買わなければ対策ができない」というわけでもない

　その他、「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」も合わせてチェックすることでさらに理解が深まるはずです。こちらにも一部、医療機関向けの表現がありますが、その部分で不明な点があれば、ぜひ懇意にしているITベンダーと一緒に読み解いてみてください。

　一点注意してほしいのは、チェックリストにある項目をクリアするために、ソリューションを購入する……と考えるのはもったいないということです。もちろん、ソリューションがあれば対策が簡単に、漏れなくできるかもしれませんが、その前にお金をかけずにできることがないかを考えてみましょう。

　例えば「退職者や使用していないアカウントなど、不要なアカウントを削除している」という項目については、その運用状況を見直すことですぐにでも手を動かせるはずです。インシデントに備えた組織内の体制についても、連絡体制図の有無はすぐに分かるでしょう。なければすぐに整備が可能です。

　最近は「Windows」などのOSやクラウドサービスでセキュリティ機能が拡充されており、「アップデートしたらいつの間にか機能が増えていた」ということもありますが、それらの増えた機能について見直しを図るのも重要です。「今まではできないと思っていたセキュリティ対策が、アップデートによって実は無料でできるようになっていた」ということもあるでしょう。

　その他、冒頭にも紹介しましたが各種アップデートも重要です。もちろん、IDやパスワードの管理に加えて、可能であれば二要素認証を利用するなど、アカウントを守るということもサイバー攻撃対策の重要なポイントです。これらの対策のうち、手動では管理しにくいものに限り、ソリューションを検討するというのが正しい流れだと思います。

　セキュリティ対策は「常に手を動かし続ける」ことが望ましいといえます。いきなり何かを買うのではなく、できることから進めていきましょう。そのきっかけとして、今回紹介したチェックリストはちょうどいいのではないでしょうか。ランサム攻撃に遭ったとしてもすぐに回復できるように、今から準備を始めませんか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。