文献詳細

■はじめに
　医療関連機関に対するサイバー攻撃が激化している．2021年10月の徳島県つるぎ町立半田病院，その翌年10月の大阪急性期・総合医療センターの被害が象徴的ではあるものの，その病院だけが攻撃され，被害を受けただけではないのである．サイバー攻撃によって被害を受けた医療機関が必ずしも警察に届けるわけではなく，また所管する厚生労働省でもその実数を発表していないことから相当な数の医療機関が被害を受けているものと推察される．2022年警察庁への届け出があったランサムウェア被害は（図1）にあるように，230件であったが，表題にあるように警察庁に届けられた件数であって，専門家らは一律にその何十倍，そして悲観的には100倍以上とその実被害件数を推定している．なお，この230件のうち，福祉関係を含む医療機関は製造業，サービス業に次いで多く，20件という数字が公表されている．
　ここで強く主張したいことは，警察庁に届けられた件数であるということ以外に，ランサムウェアだけの被害であって，不正アクセス全体ではないことと，さらに重要なことは被害を認識した件数であるということである．2019年，筆者らは大阪商工会議所とともに，大阪市内での多業種にわたる中小企業30社について，実際にネットワークを流れる通信を約4カ月間詳細に分析し，サイバー攻撃の有無を詳細に調査した．その結果，30社全てにサイバー攻撃が認められ，その半数近い会社が何らかの被害を受けていることが判明した．驚くべきことに，1社として被害を受けている事実を認識していなかったのである^1）．
　本稿ではランサムウェアを含むサイバー攻撃の現実と，その本質，主として予防としての対策について記述する．近年では，被害を受けることを想定した被害最小化，つまりサイバーレジリエントなシステム構成，対策に移りつつある．バックアップは特にランサムウェア対策として重要視されているが，バックアップを取ることと，そのバックアップに基づいて復旧することは別物である．BCP（事業継続計画）に基づく早期完全復旧を見据えたレジリエントなシステム作りを心掛け，サイバー攻撃に備える必要がある．サイバーセキュリティ対策はできるできないの二択ではなく，その組織で可能な対策は必ず存在する．