今回は、医療セミナーにて株式会社クロイツ代表取締役の木下 諒(きのした りょう)氏が講演された【院内の情報セキュリティに関して】について記述したい。
総務省の発表によると、情報セキュリティ対策とは、コンピュータやネットワークを安全にかつ継続的に使用できるように対策を講じることとある。したがって、おこなって当たり前の事であり、どのように安全を確保するかが大事なことである。
情報セキュリティを取り巻く環境としては、
の3要素がある。
これらCIAの維持には、包括的なアプローチが必要となり、予測 ⇒ 防御 ⇒ 検知 ⇒ 対応⇒ 予測を繰り返し行っていくことが重要となる。
情報セキュリティは重大な経営課題であり、セキュリティ対策を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけた「投資」と捉えることが重要である。また、セキュリティ投資は必要不可欠であり、経営者の責務であると考える。
一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)の発表によると、従業員300人以上の企業を対象とした2016年10月上旬から11月上旬までの調査結果として、日本では52%、米国では58%、欧州では50%もの企業が何らかのサイバー攻撃を受けているとされている。
サイバー攻撃は、「もしかしたら」ではなく「いつか必ず」という時代になっており、以下の表は、想定損失額の目安を一覧にしたものである。
| 区分 | 項目 | 想定損失額の目安 | 算出根拠 |
|---|---|---|---|
| 直接被害 | 個人情報漏えいによる金銭被害 | ▲ 80億円 | JNSA※一人当たり損害賠償額より算出 (基礎情報価値×機微情報度×本人特定容易度×社会的責任度×事後対応評価×顧客数) |
| ビジネス停止による機会損失 | 5営業日あたり ▲ 20億円 |
社内ヒアリングにより算出 (一日当たりの生産量×商品単価) (一日当たりのECサイト売上) |
|
| 法令違反による制裁金 | ▲ 40億円 | EUデータ保護指令(GDPR)の制裁金 (全世界の売上高の4%) |
|
| 事故対応費用 | ▲ 0.6億円 | 過去事例や業者ヒアリングにより算出 (調査費用、データ復旧費用、応急処置費用等) |
|
| 間接被害 | 純利益への影響 | ▲ 10.5億円 | JCIC調査実績より算出 (前期純利益50億円×21%) |
| 時価総額への影響 | ▲ 300億円 | JCIC調査実績より算出 (時価総額3000億円×10%) |
※JNSA:特定非営利活動法人日本ネットワークセキュリティ協会
出典:一般社団法人日本サイバーセキュリティ・イノベーション委員会
「取締役会で議論するためのサイバーリスクの数値化モデル」より
サイバー攻撃の現状としては、攻撃の高度化と巧妙化、ビジネス化が進んでおり、攻撃すること自体が簡単に誰にでもできる時代となっている。
情報セキュリティの10大脅威としては、以下のとおりである。
| 順位 | 組織向け脅威 |
|---|---|
| 1 | 標的型攻撃による機密情報の窃取 |
| 2 | 内部不正による情報漏えい |
| 3 | ビジネスメール詐欺による金銭被害 |
| 4 | サプライチェーンの弱点を悪用した攻撃 |
| 5 | ランサムウェアによる被害 |
| 6 | 予期せぬIT基盤の障害に伴う業務停止 |
| 7 | 不注意による情報漏えい(規則は遵守) |
| 8 | インターネット上のサービスからの個人情報の窃取 |
| 9 | IoT機器の不正利用 |
| 10 | サービス妨害攻撃によるサービスの停止 |
出典:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2020」より
標的型攻撃とは高度で継続的な攻撃を表し、主な標的は外交機関や大手企業である。
狙いは情報の窃取であり、標的に合わせて作成したマルウェアを使用。被害の発見に数年かかることがほとんどであり、複数のフェーズ(cyber kill chain ※)から構成される。
![[図] ※Cyber kill chain(サイバー・キル・チェーン)](images/img_column064_01.gif)
攻撃の方法も、従来のゼロディ攻撃から、ワンディ攻撃によるものが多くなってきている。ゼロディ攻撃とは、ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたとき、問題の存在自体が広く公表される前に、その脆弱性を悪用して行われるものである。この攻撃自体は減少傾向にあるが、それに代わって、ワンディ攻撃への移行がみられる。
ワンディ攻撃とは、既存の脆弱性を利用して行われる攻撃のことである。これらは、サイバー攻撃のビジネス化を表している。
通常のマルウェアと仕組みは変わらないが、違うことといえば、ウイルス対策ソフトを回避する(くぐり抜ける)機能が備わっている点にある。対策ソフトだけでは、マルウェアの侵入を防げなくなっている。
攻撃の手順としては、攻撃者側のFAXから悪意のあるFAXを送信して、FAXをハッキングする。その後、FAXに接続されている機器を探し、接続されている機器からデータやファイルを見つけると攻撃側のFAXに送信して印刷を行い、データやファイルの搾取を行う。実際、アメリカでは医療機関への攻撃でFAXが使用された事例も多数報告されている。
電線(コンセント)を経由して行われる攻撃の事である。電線を伝わる電流の変動を利用して、モールス信号のような形で外部に情報を流す仕組みとなっている。これによって、ネットワークに繋がっていなくてもデータを盗むことが可能となる。
ノートパソコンへの物理的な攻撃を表す。パソコンの裏基盤からバックドア入りのチップを埋め込む手法であり、PCに精通している人間なら2~3分で仕込みが可能な攻撃となっている。
これら以外にも、人工知能を利用した攻撃やオシロスコープを利用した攻撃、マルウェアを使わない攻撃、イビルツインルーター攻撃など様々な手法がある。攻撃手法は日々開発され、思いもしない場所から攻撃を受ける可能性が否定できないため、注意と対策が重要となる。
さらに以下のようなサービスにより、サイバー攻撃が誰にでもできるようになってしまっている。
ランサムウェアに感染させる攻撃を放ち、ランサムウェアに感染した被害者が感染除去のため身代金を支払う。犯罪者のためのサービスの一つと言える。
偽のバンキングサイトに対して、誘導を行い、被害者の認証情報を搾取する。搾取した認証情報から正規のバンキングサイトにアクセスし、金銭の引き落としやアカウントの情報販売を行う。これもまた犯罪者のためのサービスの一つである。
次回も、病院内の情報セキュリティに関して記述したい。
少しでも皆様のお役にたてれば幸いである。
