日経BPムック『すべてわかるゼロトラスト大全』を参考に、サイバー攻撃を受けた病院の例を紹介しているよ。セキュリティについては、理論から入ってもなかなか頭に入って来ないけど、事例を聞くと「対策は大事」ということがよく分かる。

この病院では、電子カルテのシステムがコンピューターウイルスに感染してしまい、ファイルが暗号化されて使用不能になってしまった。元に戻すことを引き換えに身代金（ランサム）を要求する「ランサムウェア」にやられてしまったんだね。

結論から言うと、IPA（独立行政法人情報処理推進機構）は身代金の支払いには応じないよう呼びかけているし、この病院でも支払いはしなかった。お金を支払ったからといって、データを取り戻せる保証はないし、反社会的なビジネスを助長することにもなってしまう。

不幸中の幸いだけど、この病院の場合、事件から1年後に暗号化したファイルの復号化に成功した。でも、復号化できない場合も多いので、必要になってくるのが「セキュリティ」に関する備えということになる。

動画はIPAが提供している情報を紹介しているけど、一番大事なのは「重要なデータはバックアップを取っておくこと」という。これならもし暗号化されても問題ない。ただし、バックアップする媒体を常時接続していると、そちらも感染してしまうので要注意だ。

バックアップに使用する装置や媒体は複数用意することや、バックアップ方式の妥当性を定期的に確認することも大事だ。またIPAは、万一ランサムウェアに感染した場合にも、復号化のサポートをしてくれるというからありがたい。

もうひとつ大事だなと思ったのが「利便性を下げるルールは機能しない」、要するに守られないということ。ランサムウェアへの感染の原因と考えられるのが、モバイルWi-Fiなどを使って外部ネットワークとつなげてしまったこと。

もちろん「外部とつなげてはいけない」というルールはあったんだろうけど、利用者に不便を強いるルールは守られない。結局、この病院でも、誰が外部と接続したのか、調査で名乗り出る人がいなかったので判明していないそうだ。

それが最近注目の「ゼロトラスト」という考え方だ。動画では触れていないけど、『すべてわかるゼロトラスト大全』では、業務アプリやデータへのアクセスが生じるたびに、ユーザーの属性や端末の情報、アクセス元のネットワークなどを厳しくチェックし、利用の可否を判定するやり方に変えると説明している。

セキュリティが厳しくなって不便になるようにも見えるけど、逆にわざわざVPN経由で社内ネットワークに入る必要がなくなるという面もある。でもより重要なのは、セキュリティの手法以前に、こういう動画を見て、サイバー攻撃対策が甘いとどういう問題が起きるのかを、社内でよく共有しておくことだと強く思ったね。