本記事は、
公開されている事故報告書をもとに、
特定企業を批評するものではなく、
事故の構造と判断の前提を読み解くことを目的としている。
事故のポイント
日本医科大学武蔵小杉病院で発生したランサムウェア被害は、第4報までで以下が公表されている。
侵入経路は医療機器保守用VPN(仮想専用線:外部から院内に接続する仕組み)。
侵害されたのはナースコールシステムのサーバー3台。
約1万人分の個人情報が院外に持ち出された。
漏洩項目は、氏名・性別・住所・電話番号・生年月日・患者ID。
電子カルテへの影響は確認されていないとされている。
なぜ事故が起きたか
多くの議論は「またVPNか」という方向に向かう。
確かにVPN(仮想専用線)は近年、攻撃経路として頻出している。
しかし今回、より重要なのは入口よりもその先だ。
侵入されたのはナースコールシステム。
電子カルテではない。
それにもかかわらず、住所や電話番号まで保持されていた。
ここに設計上の問いがある。
原因の分類
本件は 運用のズレ に分類できる可能性が高い。
ナースコールは本来、
・患者の呼び出し
・病室表示
・基本識別
が主機能である。
にもかかわらず、
電子カルテ側の患者基本情報を
丸ごと同期していた可能性がある。
「必要な項目だけ渡す」ではなく、
「まとめて渡す」という運用。
この判断の積み重ねが、被害範囲を拡大させる。
本当の問題
問題は「VPNが危険」という単純な話ではない。
入口が破られたとき、
そこに何が置かれていたか。
それが被害規模を決める。
表示系サブシステムに、
どこまでの情報を持たせるか。
この設計思想が問われている。
便利だから。
連携が楽だから。
将来使うかもしれないから。
その理由で、情報は増えていく。
そして、
本来不要な場所に、本来不要な情報が残る。
防げた可能性が高い対策
「そのシステムに、本当にその情報が必要か」
これを一度、棚卸しすること。
技術より先に、問い直すべきはここだ。
一般向けの再発防止ポイント
- 使っていない情報は削除する
- 連携先に渡している項目を確認する
- ベンダー任せにせず構成を把握する
- 保守用接続の有無を把握する
- 「念のため保存」をやめる
専門用語は不要だ。
確認するだけでいい。
文系セキスペの視点
人は入口を恐れる。
しかし本当に恐れるべきは、
内部の前提だ。
「ここは安全」
「ここは補助システム」
「ここは本丸ではない」
そう思った場所ほど、
設計が甘くなる。
ナースコールは医療の中心ではない。
だからこそ、個人情報の扱いが軽くなった可能性がある。
問題は技術ではなく、
「ここまでで十分だ」という思考停止だ。
読者への問い
あなたの組織にある
“補助システム”には、
本当に必要な情報だけが置かれているか。
判断変更ログ
今回の事故を読み、判断が更新された。
VPNが攻撃されやすいという認識は以前からあった。
しかし本質は入口ではなかった。
保守用VPNという外部経路があること以上に、
その先に不要な情報が存在していた可能性。
・ベンダー任せの領域の棚卸し
・セキュリティパッチ状況の確認
・システムに保持させる情報の精査
入口対策だけでは不十分だと、改めて理解した。
本質の一行まとめ
入口が破られるかではない。
そこに何を置いていたかが、すべてだ。
コメント