日本医科大学武蔵小杉病院がクラックされランサムウェアの被害にあった事件*1だが、侵入経路がまたVPN機器とあって、VPNの是非を巡って議論が起きている*2。経験的にVPNはセキュリティーホールになりやすいのは間違いない一方、VPN機器のアップデートがされていなかったり、脆弱なパスワードを利用していたりするのが直接の原因で、テクノロジーが悪いのか利用者が悪いのか明確な境界が無いからだ。
ところでシステム運用者の目線で見ると、今回の病院の事件は防ぎやすい被害であったように思える。侵入経路のVPNは医療機器の監視用のものであった。在宅ワーク用のVPNの場合、VPNで接続するネットワークと業務アプリケーションを隔離するわけにはいかない。しかし、高額な医療機器と病院の業務アプリを隔離しても問題はなさそうだ。1990年代であればケーブルの取り回しが大変になるが、現在はVLAN対応のスイッチが多彩で、それらは設定を変えれば任意のポートを隔離できる。無線LANは物理的に別APにしないといけないかも知れないが、有線ではないので何とかなるはず。
医療機器とその監視用VPNアプライアンスをVLANを用いてネットワーク的に隔離する模範事例が広く知れ渡り、規範として確立すれば、この類型の事件の被害は大きく減らすことができる。ネットワーク型の不正侵入検知/防御システム(IDS/IPS)よりも、効果は高い*3。やる気がない業者もそのようにすれば良いと知っているわけだが、積極的に提案するとタダでやってと言われてしまうので、黙っていることは多い。病院側からそうしてくれと言ってくれるか、その作業と費用の支払いが当然という社会風潮が構築されれば、話がしやすくなる。ネットワークエンジニアの自律性はどこにいったかという感じではあるが。デジタル庁あたりに、ぜひ何とかして頂きたい。
*1またもVPNからランサム被害、日本医科大学武蔵小杉病院で約1万人の情報漏洩 | 日経クロステック(xTECH)
*2また病院がVPN経由でやられたわけだがVPNは悪だね|ロードバランスすだちくん(仮)
*3何もレポートを出して来ないので役立っている感がない対策ではあるが、侵入しても医療機器しか攻撃目標がないネットワークになる。療機器を機能停止させたりはできるかも知れないが、ネットワークを遮断してセットアップしなおせば良いので、復旧はしやすいはずだ。
0 コメント:
コメントを投稿