IT担当者は日々奮闘している

前述の英国会計検査院(NAO)による2017年のランサムウェア被害に関する報告書(*4)では、NHSがコンピューターシステムを新しいソフトウエアのバージョンに移行したり、インターネットに接続されたファイアウォールを最新の状態に保つといった基本的な ITセキュリティーの慣行に従っていれば、WannaCryによるサイバー攻撃を防ぐことができたはずだと指摘している。

しかし多くの企業でも言えることだが、サイバーセキュリティーをないがしろにしているIT担当者は今や極めて少数である(決してゼロというわけではない)。

では、IT担当者が日々奮闘していても問題が起こってしまう理由とは何なのだろうか?

いくつか理由は思い浮かぶが、ここでは一つ考えられる理由を述べることとしよう。それは、「ビジネス上の理由でセキュリティー対策を先送りにする、もしくはできない」ということ。

実際、NHSなどの医療機関では、事前に救急搬送されてくる予定など分かるはずもないので、24時間緊迫した状況にある。そのため、医療機器を停止してソフトウエアを更新することになかなか踏み切れないという事情も聞く。

かくいう筆者自身もつい先日、懐かしいWindows7の画面をNHSで見たばかりだ。

ご承知の通り、Windows7のサポートは2020年1月14日で終了している(*6)。また、このWannaCryによるランサムウェア攻撃により、日本でも7000台以上のIT機器が被害に遭っている。

2017年2月にはこの脆弱性が既知のものとなっており修正プログラムが配布されていたため、実際に被害が発生するまでにも3カ月ほど時間はあったことになる。しかし、修正プログラムの適用によって万が一不具合が生じてしまうことを懸念し、3月決算の企業では5月の決算発表が終わるまでは対応を先送りしていた中で被害に遭われた企業があるのもまた事実だ。

もちろんこれだけではないが、このようにIT担当者による日々の奮闘だけでは乗り越えられない理由によって、被害を招いてしまっていることも多くある。

完全なセキュリティー対策というものはないし、単にITのリスクを下げていくだけでなく、組織や企業全体の経営リスクとしていかにサイバーリスクへの対策・対応を行っていけるのかが問われている。

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉

 

出典

*1 https://www.rtl.de/cms/hacker-angriff-auf-uniklinik-duesseldorf-starb-eine-patientin-wegen-einer-erpressung-4615184.html

*2 https://support.citrix.com/article/CTX267027

*3 https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_
160120.html

*4 https://www.nao.org.uk/report/investigation-wannacry-cyber-attack-and-the-nhs/

*5 https://www.uhsinc.com/statement-from-universal-health-services/

*6 https://support.microsoft.com/ja-jp/help/4057281/windows-7-support-ended-on-january-14-20