■BCPと言えば・・
”自然災害”を直観的に思い浮かべる人も多いでしょうが、事業中断につながるのであれば自然災害以外のインシデント(できごと)にも留意が必要です。多岐に渡るのですが、今号ではいずれの企業にも起り得るITセキュリティーによる事業継続への影響ついて事例を添え寄稿します。
■今回の事例ではどのようなことがおきたか
大阪急性期・総合医療センターにおいて10月31日にシステムに異常が発生し、翌1日から新規の外来診療が停止となりました。さらに電子カルテと会計システム等が連動していたため、診療報酬の算出や請求業務も行えず収入を得られない状態に陥りました。その後、バックアップデータを活用し11月17日から診療を順次再開。ただ完全復旧は来年1月頃になるとの発表でした。今後多大な影響が予想されます。
■原因と感染源
原因はコンピュータウィルス「ランサムウェア」への感染で、その感染ルートは外部の取引先である給食委託事業者を経由したVPNの脆弱性をついた侵入の可能性が高いと発表されました(このような攻撃を サプライチェーン攻撃 と言います)。
医療機関は命に関わるため事業(診察)の停止には非常にナーバスであり、対策もしています。しかし今回のように取引先中小企業が『踏み台』となり、自社も感染・拡大する可能性があることを理解しておくべきです。
なお踏み台となった給食委託事業者はどうなったのでしょうか?取引中止?気になるところです。
■事前対応のための脅威は何かを整理しておきましょう
IPA(独法 情報処理推進機構)により2021年におけるITセキュリティーにおける”10大脅威”が公開されています 。その脅威としては第1位の「ランサムウェア」をはじめ外部からの攻撃が多いのですが、5位に「内部不正による情報漏洩」があげられています。
[参考サイト https://www.ipa.go.jp/security/vuln/10threats2022.html]
また「ランサムウェア」の感染経路別では、「VPN 機器の脆弱性を悪用した侵入」による経路が54%を占め、間接的にはコロナ→テレワークの増加に原因があるとのことです。また古典的な「添付メール」からの感染も少なからずあります。
■ランサムウェアへのいくつかの対策
代表的対策をピックアップしています。企業の置かれている状況で変わります。
①バックアップ
重要度の高いデータについてはバックアップと共にオフラインで保管する
②ユーザー権限の厳密化
ユーザーアカウントを再確認し特権ユーザーの絞り込みやルールを見直す
③ネットワーク機器の更新
OS 等の脆弱性パッチ更新、特に長期間使用しているVPN機器の設定見直し
④従業員教育
ユーザー認知訓練を実施し、安易なダウンロードやサイトアクセスさせない
⑤その他
ウィルス対策ソフト、メールスキャン、USBメモリーの使用規制、
むやみにリンクをクリックしない、安易に添付ファイルを開かないなど
■BCPにおける取組みの範囲
ここまでお読みになられた感想は「BCPのインシデントは多様であり、その事前対策も多岐にわたり、すべてに対応するのは無理。」ではないでしょうか?その疑念は正しいと言えます。何を守るか割り切りがある意味必要となります。
弊社BCPガイドラインのSTEP2では、中核事業の選択と重要業務、経営資源の配分に関しての記載があります。最低限これを死守できれば事業の継続から早期復旧につなげることになるのです。
持続的企業経営[SEM]の実現を、BCPサポートを通じ実現いたします。
BCP作成・アップデート・更新のサポート、あるいはセミナーや研修等で啓発活動をしています。お問合せのWEBメールは こちら(別画面で開きます)をClick!