Day 15|重要インフラ :侵害が、人を破壊する時 Critical Infrastructure: When a Breach Breaks People
重要インフラ :侵害が、人を破壊する時
暗い夜の真っ只中の病院を想像してみてください。
静かに通常通りに働いているはずの場所です。
すると、画面がフリーズします。
電子カルテが開かない。
検査結果が見られない。
モニターに映るのは現実の統計だけです。
誰かが「システムがクラッシュした」と言います。
その言葉で空気が変わります。
患者が運ばれてきます。しかし、入院できません。
手術は延期されます。
検査は遅れます。
そしてその「ちょっとした遅れ」は後で取り戻せないものです。
これは仮想のシナリオではありません。
現実の証拠が、医療に対するサイバー攻撃の結果を鮮やかに示しています。
- 約72%の医療機関が攻撃の結果として患者ケアの中断を経験しています(1)。
- 組織では死亡率が20%以上上昇します(2)。-
- ランサムウェアに対する院内死亡率は33%以上高くなります(3)。
- 42から67人の死亡が報告されています(4)。
そして2025年には、英国でサイバー攻撃が死因であることが公式に確認されました(5)。
サイバーインシデントは単なるデータの問題ではありません。「時間」を奪います。
- 検査が遅れます。
- 手術が遅れます。
- 緊急サービスの輸送が遅れます。
医療において、生存は時間と直接的に関連しています。そして最悪なのは、それが「直接的ではない」ことです。攻撃は直接人を殺すわけではありません。
しかし実際には、システムが停止し、業務が停止し、決定が遅れ、医療が遅れます。そしてその先には死があります。
この距離は私たちが思っているよりもはるかに短いのです。
さらにもう一つ。
病院の一つが停止すると、
その影響は外部に波及します。患者は近隣の病院に移ります。待ち時間が増えます。医療の質が低下します。要するに、一つの侵害が静かに地域全体にひろがっていきます。
サイバーセキュリティイベントは一つのサイバー災害ではなく、むしろシステム全体を揺るがす総合的な災害です(6)。
しかしこの時点で、質問は変わります。「どれだけ守れるか」ではなく、「人々はこれに耐えられるか」です。
現場で何が起こっているのか?
- 紙とペンでの記録。
- 情報の電話共有。
- 優先順位の混乱。
- 疲れ果てた医療従事者。
そしてその中で、人間が決定を下しています。
これまで、機密性の文脈でサイバーセキュリティを議論してきました。整合性。可用性。いわゆるセキュリティのCIA。
しかし、重要インフラにとって、それは十分ではありません。
そこにあるのは人間の能力の限界です。
だから私はこう考えます。サイバーセキュリティは「侵入を防ぐ技術」だけではなく、「人が壊れないようにする設計」です。
防御はシステムを守るだけでなく、決定を守り、人々を守ることです。
どれだけのサイバー保険も、「誰かが亡くなった」という現実を、なかったことにはできません。
だからこそ、必要なのは強さではなく、柔軟性です。レジリエンス。耐えられる構造。
失っても戻ってこれる構造。
そして壊れずに決定を下し続けられること。
それが私にとって、人間中心のサイバーセキュリティ、レジリエンスの概念です。しなやかな判断力と回復力。
―――
Critical Infrastructure: When a Breach Breaks People
Imagine a hospital in the middle of a dark night. A place that should be quietly running as usual.
Then suddenly, the screens freeze. Electronic medical records won't open. Test results can't be viewed. The monitors show only raw, unprocessed numbers.
Someone says, "The system crashed." And with that one sentence, the atmosphere shifts.
A patient arrives -- but can't be admitted. Surgeries are postponed. Tests are delayed. And those "small delays" are the kind you can never make up for later.
This isn't a hypothetical scenario. Real-world evidence shows the consequences of cyberattacks on healthcare with painful clarity.
- About 72% of healthcare organizations experience disruptions to patient care after an attack (1).
- Mortality rates rise by more than 20% (2).
- In ransomware incidents, in-hospital mortality increases by over 33% (3).
- Between 42 and 67 deaths have been reported (4).
- And in 2025, the UK officially confirmed a death caused by a cyberattack (5).
A cyber incident isn't just a data problem. It steals time.
- Tests are delayed.
- Surgeries are delayed.
- Emergency transport is delayed.
In healthcare, survival is directly tied to time. And the worst part is that the harm isn't "direct." The attack doesn't kill anyone itself.
But systems stop. Operations stop. Decisions slow down. Care slows down. And beyond that slowdown lies death.
The distance between a system failure and a human life is far shorter than we like to believe.
And there's more.
When one hospital goes down, the impact spreads outward. Patients flood neighboring hospitals. Wait times grow. Quality of care drops. A single breach quietly ripples across an entire region.
A cybersecurity event isn't one isolated cyber disaster, it's a system-wide disaster (6).
At this point, the question changes. It's no longer "How do we defend the system?" It becomes "Can people withstand this?"
What actually happens on the ground?
- Paper-and-pen recordkeeping
- Information shared by phone
- Confusion over priorities
- Exhausted healthcare workers
And in the middle of all this, humans are still expected to make critical decisions.
We've long discussed cybersecurity in terms of confidentiality, integrity, and availability -- the classic CIA triad.
But for critical infrastructure, that's not enough. What we're really confronting is the limit of human capacity.
That's why I believe cybersecurity isn't just "technology that prevents intrusions." It's design that prevents people from breaking.
Defense isn't only about protecting systems it's about protecting decisions, and protecting the people who make them.
No amount of cyber insurance can erase the reality that "someone died."
That's why what we need isn't brute strength, but flexibility. Resilience. Structures that can absorb loss and still recover. Systems that allow people to keep making sound decisions without breaking.
To me, that is human-centered cybersecurity resilience built on adaptability and the ability to return to stability.
References
- https://www.proofpoint.com/us/newsroom/press-releases/nearly-three-four-us-healthcare-organizations-report-patient-care-disruption
- https://www.hipaajournal.com/study-confirms-increase-in-mortality-rate-and-poorer-patient-outcomes-after-cyberattacks/
- https://www.halcyon.ai/resources/whitepapers/ransomware-a-public-health-crisis-white-paper
- https://www.statnews.com/2023/11/17/hospital-ransomware-attack-patient-deaths-study
- https://incyber.org/en/article/cyberattack-uk-hospital-contributed-patients-death-global-first/
- https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2804585