コロナ禍にあって、医療機器メーカーや病院、製薬業界は、深刻なサイバー攻撃の脅威にさらされている。そうしたなか、検体検査などの技術で世界をリードするシスメックスでは、サイバー攻撃の予防対策の推進やインシデント対応チームの立ち上げをいち早く実施するなど、セキュリティ体制の強化を積極的に進めている。同社のサイバーセキュリティ対策に対する考え方や取り組みの経緯、そこで効果的に活用しているマクニカのサービスなどについて、キーパーソンにお話を伺った。
医療の発展と人々の健やかな暮らしのためにグローバルでヘルスケアビジネスを展開
1968年の創立以来、血液や尿などを採取して調べる検体検査の分野において世界中の人々にソリューションを提供してきたシスメックス。同社では、ヘマトロジーと呼ばれる血球計数検査や免疫検査、血液凝固検査などの分野に加え、ライフサイエンス領域といった多岐にわたるヘルスケア事業を展開し、世界190以上の国や地域の人々の健康を支えている。そんなシスメックスでは“Sysmex Way”という企業理念のもと、新しい検査技術を生み出すことで医療の発展や人々の健やかな暮らしの実現に貢献することを目指している。
医療業界で高まるサイバー攻撃の脅威
2020年より蔓延した世界的なパンデミック危機において、医療機器メーカーや病院、製薬業界はサイバー攻撃の脅威にさらされている。国内においても、医療関連の公益社団法人の事務局内PCがマルウェア「Emotet」に感染し、関係者の名前を騙る不審メールが同法人と無関係なサーバより送信されたことをはじめ、大手製薬会社の海外法人がサイバー攻撃を受け盗まれた情報の一部がインターネット上に公開される、医療機関の医用画像参照システムに外部から不正アクセスされてシステムダウンする、といった被害が発生しているのである。
このように医療業界に対するサイバー攻撃が増加している背景について、Sysmex-CSIRT谷本 重和氏は次のような見解を示す。「これまで病院内の情報システムや各種医療デバイスなどはネットワーク的に閉じられた環境にありました。しかし、医療サービスの高度化やデジタル技術が進むにつれて、それらが外部のネットワークへとつながるようになったことで、サイバー攻撃の脅威に晒されやすくなっているのです。今後もワクチン開発企業や病院現場に対するサイバー攻撃はさらに増加すると思われます」
サイバー攻撃の予防対策の推進とインシデント対応チームの立ち上げへ
このような状況を受けてシスメックスでは、医療機器メーカーとして果たすべき使命について早期から考慮し、各種セキュリティ対策を積極的に推進している。
まずは、ランサムウェアの感染防止対策として2020年後半よりEDR(Endpoint Detection and Response)を導入するとともに、偽装メール対策のためにDMARC(送信ドメイン認証技術)を導入。また、2020年10月には社内にインシデント対応チームとなるSysmex-CSIRTを立ち上げ、チーム強化に伴う業務スキル定義とメンバーの育成を推進している。また、FIRST(Forum of Incident Response and Security Teams)に加盟するなど、外部の関連団体との結びつきを深め、早期警戒情報の入手と情報連携の強化を図った。
「最新のサイバー攻撃や対策手法については、マクニカセキュリティ研究センターからの情報提供やアドバイスが大きな助けとなりました。マルウェア情報や感染後の対応方法なども参考にできるようになり、CSIRT活動に役立っています」と、谷本氏はコメントする。
外部に公開された情報資産の管理を支援するマクニカのサービスに着目
世界的に暴露型ランサムウェアや標的型攻撃による被害が継続的に発生しているが、それらの攻撃者が企業ネットワークへと侵入する際の入り口として悪用しているのが、管理不十分なまま外部に公開されたRDP(リモートデスクトッププロトコル)や、VPNサーバなどの外部公開ネットワーク機器やサーバの脆弱性である。 警察庁が公開した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」の掲載資料では、国内で発生したランサムウェアの感染経路のうち、VPN機器からの侵入が最も多い54%を占め、次いでリモートデスクトップからの侵入が20%となり、全体の74%を占める結果となっている。
とりわけ日本の組織における被害の特徴として挙げられるのが、国内は管理できている企業であっても、海外拠点では管理が十分に行えておらず、海外拠点が設置した外部公開アセットが侵害され現地でセキュリティ事故が発生するケースや、日本本社のネットワークまで侵害してくるケースだ。
こうした危機感はSysmex-CSIRTにおいても強く感じていた。「たとえば、ランサムウェアの脅威が外部に公開されたRDPやVPNから侵入していると言っても、それが実際に自社資産に脆弱性があって脅威に晒されていることがわからなければ有効な対策を打つことはできません。しかしながら、グローバルに展開されている外部に公開された情報資産を自社のみで管理するのは非常に大変なことです。可能であれば、本当に対処が必要となる資産を見極めたうえで1つ1つ潰していくのが効率的なはずです。そして、まさにそうしたニーズに応えてくれるのが、マクニカのAttack Surface Managementサービス(Mpression Cyber Security Service™)だったのです」(谷本氏)。
同サービスでは、ファーストステップとして、マクニカのスペシャリストが攻撃者と同じ視点/テクニックを用いて、顧客関連のものと思われる外部公開アセット(野良アセット)の発見を行う。次にそれらの中から対処が必要なものを選別し、そのうえで撤去や設定変更パッチ適用、脆弱性診断等の対策アドバイスを行う。このステップ1から3にかけてはヒアリングベースではなく、あくまで調査に基づく事実ベースで企業の持つ資産の洗い出しと対処が必要なアセットを絞り込むアプローチが特徴となっている(上図参照)。これにより、企業の“Attack Surface Management”を強力に支援するのだ。
同じく、Sysmex-CSIRTメンバーの井尻盛太氏も、「“Attack Surface”という言葉通り、攻撃対象面に着目するというアプローチになるほどと思いました。確かに、VPNの脆弱性などが悪用されてランサムウェアに感染するといった手口も多く聞きます。そこで大いに関心を持ったのです」と振り返る。
攻撃者の手法を熟知したマクニカならではの信頼性と手厚いサービスを高く評価
Attack Surface Managementサービスがリリースされたのは2021年6月だが、Sysmex-CSIRTではすぐにトライアルでの使用を開始することとなった。7月半ばには本契約を結び、8月末には調査結果に関する報告会議を開いている。実際の調査にあたっては対象企業の企業名のみを提示すれば調査が可能なため、特段の準備もなくサービスを開始することができた。
同サービスの調査手法としては、まず顧客企業の本社ドメインおよびホームページに掲載されているグループ会社ドメインを初期値とし、Whois情報、MXレコード、NSレコード等を確認する。そしてそこから関連ドメイン、IPアドレスの繋がりなどをたどることで、顧客関連資産の洗い出しを行う。調査に当たってはサーバに負荷をかける脆弱性スキャンなどは実施せず、様々な公開情報やインテリジェンスをもとに調査を行うため、関連会社や海外拠点との面倒な事前調整も不要だ。この調査により、顧客自身が把握できていないドメイン・野良サーバや海外拠点含めた資産の発見も可能となる。これはサイバー攻撃者がターゲットへの侵入を試みる際のAttack Surface調査と同じ手法である。そのため攻撃者の手法を熟知し同じ視点で調査することが、攻撃者に狙われうる資産、リスクの高い脆弱性の発見の網羅性を高めることになる。その成果物として、発見できたドメイン情報やホスト一覧、セキュリティ対策が行き届いていないアセットに関するレポートが提供される。
「自社の資産情報に特化した脅威情報が即座に送られてきて、どういう資産が外部に公開されており、それに対してどのように気をつけたほうがいいかといったアドバイスまで具体的な根拠に基づいて行ってくれるので、とても効果的かつ効率的に対策を行うことができます。脆弱性情報を提供するサービスは他にもありますが、当社に関する脆弱性を根拠に基づいてピンポイントで示して説明責任をすぐに果たしてくれるのです。国内でそうした情報を正確に伝えられるセキュリティエンジニアはそう居ないでしょう」と、谷本氏は評価する。
また井尻氏も、「マクニカには豊富な知見とノウハウを有するスペシャリストが数多く存在しているため、得られた結果についても信頼することができます。そのうえで打つべき対策についても、的確なアドバイスが得られるのはマクニカだからこそではないでしょうか。また、外部に公開された資産を調査するソリューションやサービスは年間契約で自社が運用する必要がありますが、マクニカのサービスはスポットでの契約が可能でエキスパートが調査やアドバイスをしてくれるので手軽に始めることができました。」と語る。
シスメックス社内でも、これまでのAttack Surface Managementサービスがもたらした効果を高く評価されており、今後のさらなるセキュリティ戦略の推進へと活かして行く構えだ。
「ビジュアル化により脅威を可視化してくれるので、脆弱性リスク分類の結果を図にすることも可能です。自社のセキュリティ対策について社内にわかりやすく説明することができ、来年度のセキュリティ投資と今後の対策に関するエグゼクティブへの提案にも繋げることができました。今後はこうしたサービスをうまく使って、医療機器メーカーや医療機関におけるインシデント対応に関する情報提供を当社から積極的に展開し、業界全体で連携しながら社会課題の解決につなげていければと考えています。その際には、マクニカでの医療関連業界に向けたサービス展開に期待したいですね」と谷本氏は展望を示した。
[PR]提供:マクニカ