大阪急性期・総合医療センターが大規模システム障害の調査報告書を公開

4月 3rd, 2023 Posted in 情報技術

プロジェクトオーガナイザの吉田聖書（よしだみふみ）です。

3月28日に、地方独立行政法人大阪府立病院機構大阪急性期・総合医療センターが公式サイト上で「情報セキュリティインシデント調査委員会報告書」を公開しました。

情報セキュリティインシデント調査委員会報告書について
（2023/3/28 地方独立行政法人大阪府立病院機構　大阪急性期・総合医療センター）

この報告書は何かというと、2022年10月31日に同センター（病院）で発生したシステム障害の経緯と原因の調査結果、現状の課題、そして課題解決のための提言を取りまとめたものです。

この事故の直接的な原因はランサムウェアへの感染なんですが、発生当時、単純なランサムウェア被害だと認識し、ランサムウェアの被害だけであれば珍しくないと判断してこのブログでは敢えて採り上げませんでした。ただ、報告書によって状況が明らかになり、そこから得られる教訓も多いかと思ったので今回採り上げることにしました。

この報告書は70ページくらいあり、詳細にかつリアルに調査結果が記されています。もちろんそれらを読めば得られるものは多いと思いますが、時間が無くてとりあえずポイントを掴みたいという方は概要版も公開されていますので、そちらを見ていただくのがよろしいかと思います。

報告書の第4章には障害発生の要因と再発防止策についてまとめられています。特徴的なのはその要因について、組織的要因、人的要因、技術的要因の3つに分類されている点です。組織的要因というのは主にガバナンスの問題、そして人的要因というのは主に従業員の意識の問題ということです。

私たちはシステム障害が起こると兎角技術的な問題として片づけてしまいがちですが、再発防止まで視野に入れるならば組織的要因や人的要因にも目を向ける必要がありますよね。技術的要因は確かに存在するけれども、それが存在する要因は組織的・人的なものであるということです。

この病院には大小多くのシステムが稼働していたことがシステム関連図から読み取れます。そして、今回の調査は直接の被害に遭った給食システムや電子カルテシステム以外にも対象を拡げて行われていまして、驚くような状況が明らかになっています。一番びっくりしたのは、延長サポートが切れてから3年も経過したOSが新規導入のシステムに使われていた事例です。これはつまり、そういうシステムを販売したベンダーがいたということです。これはさすがに詐欺に近いレベルですよね。

※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。

この報告書の中にある「閉域網神話」という言葉が印象的です。つまりクローズドなネットワークだから（中のサーバー群は）安全っていう思い込みがあったということなんですが、個人的な感想としては、思い込みがあったというよりも、様々なセキュリティ対策をやるのが面倒だからそういうことにしてしまったのではないかと感じました。

私は一通り読んで昔のことを思い出しました。もう当時の状況は今は全く残っていないと思いますが、確か運用していたサーバはメンバー全員が同一の管理者アカウントを使用して、リモートデスクトップで接続していました。ただ、その組織ではコーポレートのネットワークとサービスのネットワークは完全に切り離されていたんですね。逆に、サービス運用に関わる人しかアクセスできないようになっていたのと、外部のシステムと常時接続していなかったので、そういう意味で閉域網神話というか内部のセキュリティはかなり緩かったと思います。

もっともこの病院とはビジネスの規模が全く天地の差でしたし、当時はまだランサムウェアのような厄介な攻撃は登場していなかったので、侵入されたとしても被害はたかが知れていたと思います。この病院では被害額は調査中としながらも事故対応費用で数億円以上、逸失利益で十数億円以上を見込んでいるということですから、病院経営にとってはかなりの痛手です。それだけ今回の事故が重大なものだったということでしょう。

また、報告書の中にセキュリティの責任者を置くという提言があります。大事なのは専門家ではなく責任者ということであり、責任を負うということは予算の執行など必要な権限も持つということです。権限を与えずに責任だけ負わせるようなことは是非やめていただきたいと願います。

いずれにせよ、この報告書には事故発生の細かい経緯や生々しい現場の状況が記されています。隅々まで読めば医療業界に限らず情報セキュリティの生きた教材になることは間違いありません。

国土交通省システムから平文パスワードを含むユーザー情報が流出

2023年6月5日

記事を読む

メタップスペイメント、不正アクセスによるカード情報流出

2022年3月7日

記事を読む

複数の米IT企業に二要素認証を突破する高度なサイバー攻撃！

2022年8月15日

記事を読む

5年間気づかれなかったメール転送設定ミスで個人情報漏洩：大阪教育大学事例

2023年7月24日

記事を読む

コンビニの証明書交付サービスで他人の住民票が出てきた

2023年4月10日

記事を読む

LINEヤフーに不正アクセス、40万件超の個人情報漏洩か

2023年12月4日

記事を読む

接触確認アプリ「COCOA」の不具合調査報告書を読んでみた

2021年4月26日

記事を読む

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけどどう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけどこのままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中！

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

失敗, セキュリティ

Previous Post« 変化の時 Next Postコンビニの証明書交付サービスで他人の住民票が出てきた »

クロスイデアblog

思いをカタチに！アイデアの具象化と問題解決のお手伝い。