英国でここ最近、ニュースの見出しを飾っているのが、複数のNHS(National Health Service/イギリスの国民保険サービス)機関で発生したサイバーセキュリティのインシデント問題だそうだ。医療という重要な分野に関連する情報が漏洩したと言われるこの事故は、毎日のオペレーションに様々な影響を及ぼしているとSophos公式ブログが述べている。

Best practice lays the foundation for defence(Sophos blog)

英BBCでは3月13日に、NHSウェールズ(Wales)でのX線を取り扱う従業員など数千人の国民保険番号や名前、生年月日などの情報が、請負業者管理下のサーバから盗み出されたとされる事故について報じているが、Sophosブログでは、インシデントの全体像が明らかになるまで時間を要することから、情報の中には正確ではないものもあり解明が迫られるとしている。NHSは、英保健省(Department of Health)が管轄、国民保険サービスを統括する機関であり、同国の保険や社会保障が集まる世界有数の規模を誇る機関でのインシデントが与えるインパクトは小さくはないようだ。

まだ情報が断片的であるとした上で、技術的な点のほか何よりもNHSは作業を実行するのに十分な人員を抱えていなかったという点を指摘している。"投資銀行ならば大規模なセキュリティチームを作って、機密データを安全にするためのツールを探すことができるが、NHSの場合はリソースが様々なタスクに分散していた。つまり、システムはシンプルに実装、管理できなければならず、システマチックに動作し、できるだけ多くのタスクを自動化できなければならないということになる。セキュリティ情報・イベント管理ツールのSIEMに情報を送るだけでは不十分だ"と述べている。

加えて、NHSはネットワークの全エリアでセキュリティを見る必要があり脅威はあちこちに分散して複数の入り口からネットワークに入ろうとしており、単に自分たちのサイロにフォーカスしているのでは不十分だとしている。

インシデントがサイバーセキュリティの認知啓蒙と重要性を企業における取締役会レベルに示していると、大規模な組織におけるセキュリティ対策への警鐘でもあることを記している。決して他人事ではなく教訓として、組織におけるセキュリティの防御力を高めていく必要があると言えるのではないだろうか。