”大丈夫だろう”という思い込み

先日、ニュースで大規模病院で使われる電子カルテシステムがサイバー攻撃により利用できなくなった事件について、状況調査の結果が報道されていました。

被害が大きくなった要因の一つに、同じIDとパスワードを使いまわしていたことがあるようです。
重要なデータを扱うネットワークは外部から切り離し、閉鎖されたネットワークの中でデータのやり取りを行っていますが、近年はクラウドサービスの利用やモバイル端末によるアクセスも増えているため、外部との接続点に認証機器を取り入れ、許可された人しかアクセスできないように制限を掛けていたそうです。
医療機器のメンテナンスなども、VPN機器を使って遠隔で保守作業を行っていたそうですがそのVPN機器が突破され、閉鎖ネットワーク内にサイバー攻撃を受けることになってしまいました。

システム事業者もIDとパスワードの使い回しがあることを認識していたようですが、「閉鎖されているネットワークなので大丈夫だろう」という意識があったのだと思います。
閉鎖されているとはいえ条件を満たせば入れる以上、その条件を突破してくる攻撃も視野に入れたセキュリティ対策を実施する必要があったと思います。

セキュリティをきつくすると、今度は利用者の利便性が下がってしまいますので、そのバランスをどう取るかが課題になってくるかと思いました。