DXを語る前に、まず「ITの運用」ができるか

投稿日時: 投稿者:

2022年10月末に、大阪急性期・総合医療センターという病院でシステム障害が発生し、通常診療が全面停止する事態になりました。

その原因となったのは、ランサムウェアによる攻撃でした。電子カルテシステムを含む院内のデータが暗号化されて利用できなくなり、緊急手術以外の外来診療の一時停止を余儀なくされたのです。同病院は、攻撃者から脅迫を受けながらも、全システムを再構築により完全復旧させる方針を決断し、それに3カ月程度かけることにしました。

聞くところでは、この規模の大病院になると、医療機関としての総合的な運営コストは、1日当たり1億円程度になるのだそうです。通常診療ができないということであれば、そのコストがただ毎日出ていくだけの日々を、約3カ月の間過ごすという決定を下したことになります。それでもシステムの全面再構築の道を選んだわけですから、容易な判断ではなかったでしょう。

その攻撃被害の原因や再発防止策を検討した調査報告書が、2023年3月末に公表されました。

報告書では今回の攻撃を許した原因を整理して指摘しており、部外者の我々も対策を考えるうえで参考になる内容になっています。その中でわたしが注目したことのひとつに、攻撃者の侵入のきっかけになったとされている、外部の給食事業者の存在があります。

攻撃者は、同病院の入院患者向けの給食提供を業務委託で行っていたこの事業者が所有するファイアウォールを破って侵入し、その会社の業務サーバーを乗っ取りました。そこで、同病院のサーバーへの認証情報を得て、同病院が管理する給食サーバーへ横展開していったということです。

このファイアウォールは、給食事業者のシステム構築を担当したベンダーがリモート保守で用いるために、外部からのアクセスを可能にするように認証設定されていました。ところが、ファイアウォールの装置自体がもつ脆弱性が放置されていた状態でした。その脆弱性を突かれたため、アクセスのためのIDとパスワードが窃取されたといいます。

わたしがなぜこの給食事業者に注目したかと言えば、この事業者は侵入のきっかけを作ったそのファイアウォールについて、「存在を知らなかった」と答えているというからです。

このような話、つまり、自分たちがどのような装置や機器を使っているのかを全く把握していない(特に中小)企業というのは、典型的な「あるある話」です。厳に改めるべきことなのです。

そもそも、ITを導入する企業が十分認識すべきことがあります。それは、何らかのITを導入する時点で、その企業には「運用業務」が発生するということです。

運用業務とはつまり、自社が管理すべきIT関連の資産をすべて把握し、それらの資産の適切な取り扱い方法や設定を定めて、適切な動作を継続するように業務を設計して遂行する、というようなことを指します。このとき、自社の管轄ではないが自社のシステムへの影響が避けられない外部の装置やシステムについても、管理責任は軽減されはするものの、自社管理とほぼ同等のケアが必要です。

問題になったファイアウォールが、この給食事業者の資産だったのであれば、管理責任は給食事業者にあります。「存在を知らなかった」では済まされません。

もしベンダーの所有だったとしても、給食事業者がその装置の存在を知らなかったということは、由々しき事態です。ベンダーから説明を聞いていたにもかかわらず忘れていたのだとしたら、給食事業者の責任は免れません。そもそもファイアウォールのような装置では、外部からリモート接続させるなら必要な時だけに限定すべきであり、保守作業の必要がないときでも外部から内部へつながることを許容していたことが問題だと思います。

そうではなく、もし保守ベンダーが給食事業者に許可を得ずに黙って設置していたのだとしたら、ベンダーに対する損害賠償責任が問われかねないようなことに思えますが、装置は会社の管轄区域内に設置されていたのですから、自社内に置いてあるものに何も関心を示さないというのもまた問題です。犯罪者が無断で置いた盗聴器や盗撮カメラに、何の関心も示さず放置するのと同じことです。

ベンダーの説明責任などの問題は多かれ少なかれあると考えられる一方で、装置の運用に対するユーザー企業の認識の甘さ、管理責任の欠如、利用者としての管理努力不足といった道義的な責任は、免れるものではないと、わたしは考えます。仮に、導入したシステムの運用を全面的にベンダーに委託したとしても、最低限の運用管理業務は必ずユーザー企業側に残り、それを負わなければなりません。運用を完全放棄することは、いずれにしてもできないのです。

そういう自覚がないままITを導入する企業が、特に中小レベルでは多すぎるように、個人的には感じています。

ここで経営者の方々に申し上げたいのは、このランサムウェア攻撃被害における給食事業者の責任問題のことではありません。ITを利用する企業はいずれも、ITを会社として利用する時点で、それがいかなるハードウェアやソフトウェア、またはクラウドサービスやツールであったとしても、社内には必ずなんらかの「運用業務」が発生すること、そのために何らかの体制面での措置が必ず要求されること、です。

その対応には、ITを用いたシステムの構成や設定などについて、ユーザー企業自身が少なからず勉強し理解する必要が出てきます。

それがどうしても出来ない、やりたくない、のであれば、会社でITを使ってはいけません。気安く使えば、いつか然るべき時に、この事件の給食事業者のようなことになるでしょう。

いま一度、「企業におけるIT利用は、電気屋で家電を買ってきて使うのとは違うのだ」と認識いただきたい。切に願う次第です。