【ネットアシストニュースレター | Vol.15 】
制作会社にとって他人事ではない重大事例
ー半田病院事件ー
2021年10月末に徳島県つるぎ町立半田病院でランサムウェアに感染し、患者約8万5千人分の電子カルテが閲覧不能になるインシデントがありました。その結果、被害直後から新規患者の受け入れを停止する事態に陥ってしまったようです。
FortinetのVPNより不正アクセスを許した可能性が高く、下記のような複数の原因がありました。
・VPN装置の脆弱性を放置。
・マルウェア対策ソフトの稼働を停止していた。
・Active Directoryの認証用パスワードを最短の5桁にしていた。
・Windowsアップデートを無効化していた。
・サポートが終了したサービスを利用していた。
・半田病院のIT担当者が1人しかいなかった。
2022年6月7日に「有識者会議調査報告書」で下記のような発表がありました。
有識者会議調査報告書
医療情報システムの安全管理を実現するリソースを割く余裕は無く、サイバー攻撃リスクを盛り込んだBCP策定を理由に、IT担当者の増員を予算に含めても受け入れられないのは明白である。
その結果、セキュリティ対策について医療システム事業者やサポートベンダーに頼らざるを得ない状況(且つ、サポートサービス契約によるキャッシュアウトも不可)となるのは自然の成り行きと考える。
また、報告書では下記のようにも記載されています。
しかし、前述の情報システム管理リソース欠如の状況において、事業者及びベンダーはこの「丸投げ状態の理由」を十分認識していると思われ、事業者及びベンダーは医療情報を扱う当事者でなくとも、システム全体の構成要素の内容を含めたリスクマネジメント実施の提案、または知見が不足するのであれば、第三者への委託を含めそれらを促すなどの善管注意義務は十分にあったと考えるのが妥当である。ましてや事業者及びベンダーはVPN装置の脆弱性およびID情報の公開の事実があったにも関わらず、適切な対処を講じなかったために今回の事件発生を防止または緩和ができなかったこと。さらに、納入システムが閉域網であることを理由に、極めて初歩的なセキュリティ対策を継続的に怠ったため、最悪の事態に至らしめた責任は重いと考える。
上記のように、事業者及びベンダーの責任について言及されています。現状はクライアント様から依頼されなかった場合は、セキュリティ提案をしないケースも多いのではないでしょうか。万が一、クライアント様のサイトやシステムがセキュリティ攻撃の被害にあった場合、同じように責任を求められる可能性があるので細心の注意が必要です。
半田病院側は、事業者及びベンダーと「保守契約を結んでいなかった」という話もあります。個人的には、保守契約もないようなケースで、ここまで責任を追及される筋合いはないと思いますが…
制作・開発会社様においては、クライアント様への提案時に、必ずセキュリティ製品の導入や保守契約を含められる事をおすすめします。ネットアシストでは下記のセキュリティ製品を取り扱っていますので、お気軽にご相談ください。
セキュリティ製品
セキュリティ製品導入の前の基本対策
またセキュリティ製品導入の前に基本対策が必要です。サポート切れのOSやミドルウェアを利用されている場合は、まず新しいサーバー環境に移行する事が大前提です。新サーバーの構築や移行もお任せください。
サポート期限内のOSやミドルウェアであっても、日々新しい脆弱性が発見されています。MSPゴールドプラスプランでは、セキュリティパッチの適用もサポートしています。
さくらインターネットさんとの勉強会レポート!
5月、6月とさくらインターネットさん主催の勉強会にいくつか参加させていただきました!今回は、そんな勉強会のレポートをしていきたいと思います。
usacloudハンズオン勉強会
ネットアシストのエンジニア向けハンズオン勉強会をさくらインターネットさんに実施頂きました。全4回のハンズオン勉強会では、usacloudの環境構築方法や、基本的な使い方、usacloudの応用的な使い方に関して丁寧に、教えていただきました。
※usacloudはさくらのクラウド用の公認CLIクライアントです。
オートスケール勉強会
オープンベータ版として5月26日より提供が始まった、さくらのクラウドで利用できるオートスケール機能について勉強会を実施頂きました。今までもオートスケールの提供はありましたが、監視用サーバーの利用が必須でした。今回新しくリリースしたオートスケール機能では別途監視サーバーの構築は不要で、コントロールパネルから操作が可能です。CPU TIMEを10分間隔で監視し、負荷状況に応じて自動的にサーバーのスペックや台数を増減させます。実際に、構築したサーバーに負荷をかけながら、オートスケール機能の使い方を学習しました。
※オートスケール機能に関しては正式リリース後に改めて特集をご案内予定です!
3社勉強会
さくらインターネットさん・ITMさん・ネットアシストの3社で情報交換のための勉強会に参加しました。ネットアシストからは実際にサーバーの監視や運用を実施しているエンジニアが5名参加し、サーバー監視に利用しているツールの活用方法や、障害事例の発表、今後の課題や意見交換を行いました。
どの勉強会もとても充実していて、貴重な時間を過ごすことができました。今回は、5月6月に参加させていただいたさくらインターネットさんの勉強会についてレポートしました。今後も勉強会や研修会に参加し、サービス向上に努めていきます!
Amazon Linux 2のサポート延長と
Amazon Linux 2022のリリース予定日
◆ Amazon Linux 2のサポート期限は2023年6月30日まで。
◆ 新OS の Amazon Linux 2022 のリリースが予定されている。
Amazon Linux 2 と新OS Amazon Linux 2022について、4月に実施をしたWEBセミナーと5月のニュースレターで弊社からもキャッチアップした情報を発信しておりました。ご利用されているお客様は特に、上記2点についてはしっかり押さえて頂いているかと思います。
2024年6月30日
Amazon Linux 2022の正式リリース日が発表されていないものの、Amazon Linux 2サポート期間変更の可能性は低いという見解でした。そのような中で、直近で大きな動きがありました。
「Amazon Linux 2 のサポート終了日 (EOL、End of Life) は、
参考:Amazon Linux 2 に関するよくある質問
Amazon Linux 2022 への移行に十分な時間を提供するために、
2023年6月30日から2024年6月30日に1年間延長されました。」
Amazon Linux 2 の FAQ 内、サポート期間についての更新がありました!2024年6月30日、当初の予定から1年間のサポート期間(EOL)延長です。
Amazon Linux 2022のリリースは今年の後半予定
さらに、弊社でも待ちわびていたAmazon Linux 2022 のリリース日についても更新されていました。
「Amazon Linux 2022 の一般利用可能なリリースは、今年の後半に
参考:mazon Linux 2 に関するよくある質問
予定されており、5 年間サポートされる予定です。」
すでに2022年の後半に入っている気もしますが、「2022」と名付けられている以上、年内に正式リリースされるようです。
ご相談・ご検討はお早めに!
サポート期限が1年延長されるので、リプレイスのご検討期間も少し余裕が出来ました。しかし、2024年6月末には、日本国内で多くのシェアを誇るLinux系OS 、CentOS7のサポート期限終了が予定されています。ご相談やご依頼が遅くなってしまいますと、サポート期限終了前のリプレイスが間に合わなくなってしまいます。引き続き、リプレイスのご相談とご検討はお早めに進めて頂ければと思います!
引き続き、今回の件はネットアシスト内でさらに重要度を上げて、
今後も情報の随時キャッチアップとご提供を実施していきます!
お見逃しのないようご確認をお願いします。
