DX化の進展とセキュリティ対策の遅れ

デジタルトランスフォーメーション(DX)によりさまざまな処理の自動化などITソリューションの導入が進められている昨今ですが、これはすなわちシステムが使えなくなった最悪の場合、業務が止まってしまう可能性があることを意味します。

物流の2024年問題とは、24年4月からトラックドライバーの時間外労働の960時間上限規制が始まり輸送能力の大幅な不足が予測され、これを改善する手段として、業務効率の改善に向けたシステム改修問題も含まれます。

全日本トラック協会のサイトでも、荷主とトラック業者は「情報の共有化、DXによる業務効率化など」が環境改善の手段として挙げられています。

またサイバー攻撃の高度な悪質化が進み、侵入食い止めが難しく世界各地で被害が拡大しています。最近ではVPN機器の脆弱(ぜいじゃく)性を悪用されたり、ID・パスワードなど認証情報が盗まれシステムへ侵入される事例が増えています。

ウイルス対策ソフトやUTM(Unified Threat Management)による防御など従来のセキュリティ対策は今でも有効ですが、上記のような攻撃手法が広まる中、これだけでは不十分であると言えます。

現状の『侵入』を防ぐことに注力するという考え方をあらため、「サイバーレジリエンス」へと転換を目指す企業が注目を集めています。これはシステム・企業自体が「復元力」を発揮して、侵入されても平常状態を維持、事業継続に向け反転攻勢させる考え方。これは特定のソリューションを利用するより、企業がシステム運用に対してどのような戦略を持っているかが問われているのです。

世界的に注目されている「事業継続計画(BCP)」を災害にとどまらずサイバー攻撃においても応用すべきタイミングです。

医療機関の大半がシステムダウン時のマニュアル整備が不十分

海外の病院で発生したランサムウェア攻撃が地域全体にどのような被害をもたらしたのかの事例研究では、被害に遭った病院だけでなく、近隣病院にも外来が増え、緊急搬送も波及的に増えるなど広範に悪影響が発生することを指摘、「そもそもサイバー攻撃による影響以外であっても計画停電をはじめとしたシステムダウンは起こりえる。ところが、そうした一般的事由を含むシステムダウン時の手順書がない、整備されていない、守られていないという病院が多数を占めていた」と結論づけています。

「システムには何らかの理由でダウンタイムが発生する」というのは、当たり前の話。病院以外の業種もそうですが、人命に関わる病院であればなおさら、サイバー攻撃とは関係せずともダウンタイムが発生しても事業全体を停止させずに動かす方法をあらかじめ考えておくのは当然のリスク対策。

システム依存度が高まれば高まるほど「セキュリティ」は必須

以前はセキュリティは「最終工程の最後に予算が余っていたらやる」くらいの低い優先順位でしたが、業務効率化のためシステムが事業に密接に組み込まれている現在「もしシステムが止まってしまったら業務はどうなるか?」をしっかり把握して業務設計しておくこと。

設計段階で「脅威が侵入しない対策を打つ」だけでは不十分。急なゼロトラストへの移行は厳しく険しい道のり「脅威が侵入しても検知・対処できること」「いち早く通常状態に戻せること」が対策としては重要です。

通常状態というのがITシステムを元通りに戻すだけでなく、紙などを使ったアナログ手法であっても業務を遂行するということも想定されます。そうした泥臭い方法でもバックアッププランがあるというのが重要なのです。

本年7月に名古屋港業務システムへのランサムウェア攻撃は大きくマスコミに取り上げられましたが、わずか3日で復旧、業務を再開しており、日本における企業のセキュリティ対策は以前と比べ大幅に前進していることを示しています。

事業継続力の強化の視点から、経営層も巻き込みセキュリティ対策を構築すること。企業システムにランサムウェアがいつ来るかは分かりません。危機が発生する前にできうる限り事前の準備を進め、万全の態勢を築き備えておくことこそ必要なのです。