先週末に大きな話題になったのは、電子カルテシステムを利用する大規模病院で、半数以上の病院でID,パスワードの使いまわしをしている実態が明らかになったニュース。

使い回しで崩れた「閉域網神話」NECを揺るがしたサイバー攻撃
https://www.asahi.com/articles/ASR3T6HW2R3SULZU003.html

2022年10月31日に大阪急性期・総合医療センターの電子カルテが動かなくなった事案は記憶に新しい所ですが、これはFortinet製のVPN経由で侵入されてランサムウェアを展開されたというものでした。

外部から遮断されている想定でのシステム／運用設計の悪習なんですが、私も「インターネットに接続していないから」と、WinXP, Win7を使い続けていたり、メンテナンス用のアカウントを使いまわす現場を経験しています。
特にコロナ禍以降は在宅勤務の必要性からVPN等のリモートアクセスの導入が急速に進んでいますから「閉域網」の前提もアヤシイ所も増えているのではないでしょうか。

逆にガチガチにアクセス制限を施し、操作端末側もモニターツールを入れて監視している現場もあるわけですが、これはこれで権限を持つ特定の作業者に仕事が集中したり、監視ツールが重くて作業PCが頻繁にフリーズしているなど、別の弊害が生じています。セキュリティーと作業効率と、なかなかバランスを取るのが難しそうだなあと見ています。

理想を言えば、適切なセグメント分割＆細かなアクセス制御。
最近では「全てを信じず、都度、要検証」というゼロトラストの方法論が流行りました。

予算などを理由になかなか普及していないのが現状ですが、いざインシデント発生となると、大阪の例では全面復旧するまで2か月近くかかったという実害も発生しています。

先の記事では「外部との結節点がある以上、それは閉域網ではない。
そういう認識に立って、これからはやります」という反省の弁ですが、思い当たるシステムがありましたら再点検すべきですね。