本記事は、
公開されている事故報告書をもとに、
特定企業を批評するものではなく、
事故の構造と判断の前提を読み解くことを目的としている。
事故のポイント
以前に、日本医科大学武蔵小杉病院サイバー攻撃の第4報をもとに記事を書いたが、今回はその更新版である。
日本医科大学武蔵小杉病院は、第5報において被害規模の更新を公表した。
第4報では、約1万人とされていた漏洩対象は、約13万人の患者および約1,700名の職員・実習生へと拡大した。
侵入経路は医療機器保守用VPN(仮想専用線:外部から院内ネットワークへ接続する仕組み)の脆弱性。
侵入後、ナースコールサーバー内のデータが窃取され、リークサイトで公開されたことも確認された。
さらに、被害範囲が拡大した理由として、患者基本情報が自動的に送信・蓄積される仕様が明らかになった。
なぜ事故が起きたか
多くの議論は「またVPNか」という入口の話に向かう。
確かにVPNの脆弱性は近年攻撃対象になりやすい。
しかし第5報で確定したのは、入口ではなく内部構造だった。
ナースコールシステムは本来、呼び出しや表示を担う補助システムである。
それにもかかわらず、入院歴の有無にかかわらず患者基本情報が自動同期されていた。
侵入は偶発的でも、被害の拡大は設計によって決まる。
原因の分類
本件は 運用のズレ に分類できる。
ナースコールの主機能は呼び出しと識別である。
しかし運用上、電子カルテ側の患者基本情報が広範囲に連携・保持されていた。
「必要な項目だけ渡す」ではなく、
「まとめて同期する」という判断。
その積み重ねが、被害規模を拡大させた可能性が高い。
本当の問題
被害が拡大したのではない。
拡大する構造だった。
13万人という数字は、攻撃の強さを示していない。
内部に保持されていた情報量を示している。
補助システムは安全だという思い込み。
表示系だから本丸ではないという感覚。
この前提が、設計を甘くする。
防げた可能性が高い対策
「そのシステムに本当にその情報が必要か」を、定期的に問い直すこと。
技術より先に、判断を更新する。
一般向けの再発防止ポイント
- システム間で共有している情報項目を確認する
- 使っていない情報は削除する
- ベンダー任せにせず構成図を把握する
- 保守用接続経路の有無を確認する
- 「念のため保存」をやめる
専門用語は不要だ。
確認するだけでいい。
文系セキスペの視点
人は入口を恐れる。
だが本当に恐れるべきは内部の前提だ。
「ここは補助だから大丈夫」
「ここは表示だけ」
「本丸ではない」
そう思った瞬間、情報は増え、設計は緩む。
自動同期という便利さは、責任も同期する。
持つと決めた瞬間、守る責任が生まれる。
読者への問い
あなたの組織にある“補助システム”は、
本当に必要最小限の情報だけを保持しているか。
判断変更ログ
第4報時点では、情報最小化の問題を疑っていた。
第5報で、被害規模が約13万人へ拡大したことで、その疑いは構造として確定した。
侵入経路の問題は当然ある。
しかし本質は、ナースコールにどこまで情報を持たせていたかだった。
入口対策だけでは不十分である。
設計思想そのものを問い直す必要があると、判断を更新した。
本質の一行まとめ
入口が破られたのではない。設計が、広げた
コメント