今狙われる業界の一つである医療。閉域網が多くオンプレミスのイメージが強い中でいち早くSaaSセキュリティを導入した、TREND MICRO Partner Engineer Award受賞者の鈴木氏に聞いてみた。
セキュリティ・インフラ事業部 サイバーセキュリティ部 セキュリティ技術グループ
大学時代、コンピュータを自作するところからITスキルを磨き始め、IT業界に身を置いて早15年。いまや情報セキュリティのプロフェッショナルとして、社内外から厚い信頼を集める。
サイバー攻撃の被害が相次ぐ医療機関において、多くの制約があるにもかかわらず情報を安全に守るために全力で立ち向かう。
2023年 TREND MICRO Partner Engineer Award Security Service & Platform Award 最優秀賞受賞
https://www.trendmicro.com/ja_jp/partners/channel-partners/engineer-award-2022.html
●高額機器の多い医療現場で、求められるセキュリティ対策がなぜSaaSなのか知りたい方
●医療機関で、EDRやXDRがどんな効果を発揮しているのか知りたい方
医療機関に特有の問題?
これまでサイバー攻撃は企業が狙われるというのが一般的なイメージだったと思いますが、なぜいま医療業界での被害が増加しているのでしょうか。
被害そのものが急増したわけでなく、「発表されることが多くなった」と考えた方が正しいと言えます。私は入社以来、マルウェアに感染した現場の調査・駆除を行っていますが、圧倒的に医療機関が多い。その中で感染経路として多かったのは、USBメモリを介した感染です。医師は複数の病院で勤務していたり、学会用の論文作成のためにデータを持ち歩いていたりすることが多く、USBメモリをよく使われます。機器の持ち込み、持ち出しを許可している病院も多い傾向です。
これは私の印象ですが、医療現場にとって「ウイルス対策ソフトは業務に不都合が生じる」という考え方があるように思います。つまり、壊滅的な影響を受けないのであれば、CPUやその他PCリソースをセキュリティソフトに使うべきではない、パソコンが使えたらいいという考え方です。医療従事者ならではの合理的な思考かもしれません。
ですが最近では、VPN装置の脆弱性を突き、業務停止を狙う攻撃手法が一般化してきました。VPNは病院で使われているシステムや機器と、提供している外部業者の間の保守回線として使われているケースが多いのですが、最近もある製品の脆弱性が明らかになり、世界中で騒ぎになりました。
セキュリティ対策は「最初に万全を尽くせば大丈夫」と言う方もおられますが、その考え方は通用しません。最初は100点でも、次の日にはもう0点ということもあります。家で例えると、新築した時に実は鍵が壊れていた、壁に穴が開いていた、といったことが後からわかる世界です。
医療機関におけるセキュリティ被害には、業界特有の原因もあるのでしょうか。
病院で使われている機器は非常に高価なものが多いので、最新の機器に更新するとなると億単位でコストがかかるケースがあります。そのため、動いている限りはソフトウェアのアップデートなどは行わず、そのまま使い続けているケースがほとんどです。アップデートされていないが故に、USBメモリなどの機器を介して運ばれたマルウェアにソフトウェアの脆弱性を突かれるという被害が、医療業界の特徴と言えます。
ソフトウェアは本来、アップデートしながら使わなければ危険なため、古い状態のままになっていることで、被害が拡大する原因になっています。
セキュリティ対策のあるべき姿とは
ここ数年、病院がランサムウェア攻撃にあう事例が目立ちます。どういった背景があるのでしょうか。
VPN装置の脆弱性を突く攻撃手法が一般化したうえに、犯罪者に医療機関はターゲットとして魅力的だと気づかれてしまったのだと思います。医療情報システムは、たいてい一つ権限を奪取すればあっという間に制圧可能です。ランサムウェア攻撃は管理者権限やOSの標準コマンドを悪用することが多い攻撃なので、たとえ強力なマルウェア対策ソフトや、古くからのホワイトリスト的なソフトウェアを使っていても、食い止めることはできません。管理者権限を乗っ取ってOSの標準コマンドを悪用しながら攻撃するため、そうしたソフトウェアからは攻撃者の仕業であっても、管理者の行為だと受け止められてしまうからです。
セキュリティは本来、業務を安全・安定して遂行するために導入するものですが、「何があっても、守られるようにしてほしい」とおっしゃるお客さまもおられます。ですが、先述の「最初に万全を尽くせば大丈夫」では無い様に、徹底的にコストをかけたとしても100%のものは難しい。
業務を安全・安定して遂行するためという視点で、かけるべきコストや導入するセキュリティ対策を経営的な視点でも考える必要があります。
医療業界のセキュリティ対策は、明らかに攻撃対象となっているこの現状に合わせて、意識を変えるべき状況だと考えています。
医療現場から上がってきているリアルな声があればお聞かせください。
私がかかわるお客さまは皆さん共通して、最近のランサムウェア被害に対し非常に恐怖感を抱いておられますが、その対策は若干迷走気味です。ランサムウェア攻撃の場合、実際に被害にあわれたお客さまは現実に即した対策を進めておられますが、被害にあわれていないお客さまの中には、不十分なセキュリティ対策を進めているケースがあると耳にします。例えば、強力なマルウェア対策ソフトや、ホワイトリスト型のセキュリティ対策ソフトウェアを入れるといったことは、前述したように侵入型ランサムウェア攻撃に対して効果が薄いものです。
また、医療機関では、システムや機器を入れ替えるとなるとかなりの金額がかかるため、どうしても入れ替えのタイミングまでは検討が進まず、セキュリティ対策の考え方が現実に追いついていないことがあるように思います。
自治体も一時、ウイルス被害やハッキングが話題になりましたが、総務省の旗振りでネットワークが整備され、セキュリティレベルが上がりました。一方で医療機関は、公的組織、民間組織とさまざまなので、足並みを揃えてレベルを向上させるには難しい面があります。
セキュリティ対策をSaaS化する意味
医療機関においてセキュリティ対策は強化しにくいことを実感しました。そうした環境で、SaaS型セキュリティのEDR/XDRを導入するのは、かなりハードルが高かったのではないですか。
ハードルの高さは、認識の齟齬によるものです。もしも予算が潤沢にあるならば、保守回線に専用線やZTNA(ゼロトラストネットワークアクセス)を入れることができます。あるいはオンプレミスにして、常駐の保守要員を配置することも可能です。しかし現実は、予算が限られているからVPNを利用し、リモートでの保守を選択されています。では、その場合、セキュリティ対策はどうすればよいのかという話です。
通信や機器、人の出入りがある以上、セキュリティ対策は今や侵入を前提に考える必要があります。攻撃者はインターネット上のあらゆるリソースを使って攻めてきます。VPN装置が侵害された場合、マルウェア対策ソフトだけでは対抗できません。
管理者権限を悪用して資産を盗み破壊してくる攻撃に対して、何か不審な動きがあったときには検知できるようにしよう、業務を守れるようにしようと考えたときに、EDR/XDRの力を使うことが一番です。そのことを丁寧にお客さまに説明しご理解いただければ、大多数のお客さまが前向きに検討されます。
実際にSaaS型セキュリティのEDR/XDRを導入したことによる効果はどのようなものでしょうか。
EDR/XDRの導入により、サーバやクライアントが普段、どのような動きをしているかが把握できるようになります。そして普段の動きがわかれば、不審な動き、攻撃者の動きが見えるようになります。不審な挙動の有無をほぼリアルタイムに確認できるため、不測の事態にも対応可能になるわけです。
私がトレンドマイクロのXDRを導入した医療機関・民間企業では、インシデントレスポンスを行う上で非常に役立っています。エンドポイント向けのEDRだけではなく、複数製品のログを相関分析できるXDRを導入することで、いつ・どこで・何が起きていたのか、原因特定を迅速に行うことができます。またセキュリティ対策を一元管理できるのもXDRのメリットです。またこの記録があることで、明確な報告をすることができます。侵入を前提とした対策が必要となった現代では、インシデントが起きたときは、いかに明確に報告、そして再発防止策を提示できるかが重要です。
セキュリティ対策製品の効果は、実際に何かインシデントが起きた時に一番実感するものですが、事前に入れておくことで今後の被害を未然に防ぐことができ、また何かあれば対応できるという安心感もあります。
ただし、あえて厳しい言い方をすると、どんなに立派なシステムであっても、使う人の意識がなにより重要です。
医療業界のセキュリティ対策、必須の2ステップ
医療機関がセキュリティ課題に取り組む際、どういった点を「使う側の意識」として手がけるのがよいでしょうか。
「セキュリティに近道はない」ことを認識してほしいと思っています。特効薬のようなものはありません。脆弱性はないと謳っているセキュリティ対策製品もありますが、バグのないソフトウェアは存在しません。だからこそ目的を明確にし、お客さまも理解しながら対策を進めていく必要があります。
一つ目のステップとして、院内の資産を把握できているか確認することが大切です。保守回線や機器など、古いものがあれば重篤な事態に直結します。把握さえもできていないとインシデントが起きたとき、特定するだけで膨大な時間を要します。例えば資産管理ソフトを導入することで資産の棚卸し、可視化がスムーズになります。
そして二つ目のステップは、SaaS型セキュリティの導入です。これはもはや必須だと感じています。オンプレミスの運用体制を構築するには、相当なコストと労力がかかります。SaaS化により、セキュリティアップデートやパッチの自動適用が可能となり、もしシステムが脆弱性にさらされても、肝心な時に機能しないといったことを回避することができます。またスモールスタートができるので、小さく始めて必要に応じて拡張することができます。そしてもちろん、不要になれば縮小できるので、セキュリティ対策の予算が限られている医療業界において、SaaS化は最適な選択肢と言えます。
私は常に、サイバー攻撃による被害者を減らしたいと考えています。セキュリティ製品・サービスはぜひとも適切に選んでほしい。昔から使っているものだから、コストが安いから、運用が楽そうだから、自動化できるのが便利だからなど、本当にそれでいいのかというのを問い直してみてください。現状に合っていないもの、妥協して選んだものに対して、攻撃者は手加減してくれません。
医療機関特有のセキュリティリスクへ対応するためのサービスパッケージ。
EDR/XDRを使ったインシデントレスポンスを提供
鈴木氏の話にあったトレンドマイクロのXDR統合管理プラットフォーム
鈴木氏をはじめ14名の方が受賞した
TREND MICRO Partner Engineer Award
お問い合わせ
トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/business.html
