RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

社会インフラを狙うサイバー攻撃は、なぜ「人の問題」なのか

»

u5292553157_a_quiet_city_during_a_blackout_most_buildings_dar_a8be0a0b-1048-4f66-ab25-7140f2b37feb_0.png

サイバーインシデントの被害は、個人情報の漏えいや企業の業務停止にとどまらない。とりわけ、電力、医療、水道、交通、通信といった社会インフラに被害が及んだとき、その性質は一変する。こうした領域は、社会の「便利さ」を支えるだけではなく、人々の生活、健康、安全、移動、経済活動を日常的に成立させる基盤だからだ。米国のCISA[12][13]は、重要インフラを、その機能停止や破壊が国家安全保障、経済安全保障、公衆衛生・安全に深刻な影響を及ぼしうる資産・システム・ネットワークだと位置づけている。つまり、社会インフラへのサイバー攻撃は、単なるシステム障害ではなく、社会機能そのものへの攻撃である。[1][2]

この点で重要なのは、被害の本質が「IT部門の問題」ではないということだ。CISAのランサムウェア対策ガイドは、ランサムウェアや関連するデータ侵害が、組織を「業務やミッションクリティカルなサービス提供に必要なデータへアクセスできない状態」に追い込み、経済的・評判上の損害を長期化させうると明記している。社会インフラにおいてこの意味はさらに重い。止まるのが社内システムだけなら業務遅延で済むかもしれないが、病院の検査系統、送配電の制御、交通運行、通信基盤が止まれば、影響はそのまま社会全体へ波及する。 [3]

とりわけ医療分野では、サイバー攻撃の影響が患者安全に直結することが、すでに複数の調査で示されている。米国保健福祉省(HHS)の文書は、医療機関へのサイバーインシデントが、患者の他施設への転送、医療処置の遅延、長期的な診療混乱を引き起こしてきたと整理している。さらに、2018年以降、医療分野では大規模データ侵害が93%増、ランサムウェアを伴う大規模侵害は278%増とされる。JAMA Health Forum に掲載されたコホート研究でも、2016年から2021年にかけて米国の医療提供組織に対するランサムウェア攻撃は43件から91件へと倍増し、全374件のうち44.4%で診療提供の混乱が確認された。具体的には、電子システム停止が41.7%、予定診療の遅延・中止が10.2%、救急搬送の受け入れ変更(ambulance diversion)が4.3%で報告されている。 [4][5]

さらに深刻なのは、こうした混乱が患者の転帰にまで影響しうる点である。American Economic Journal: Economic Policy に掲載された研究では、病院がランサムウェア攻撃を受けた初週に、救急・入院・外来の患者数が17〜24%減少し、攻撃開始時点ですでに入院していた患者の院内死亡率が34〜38%上昇したと報告された。CISAも別の分析で、サイバー攻撃によって電子カルテ利用不能、検査・画像提出不能、手術やがん治療の遅延、紙運用への後退、患者転送などが発生し、病院の処理能力低下を通じて医療の質と安全が損なわれると指摘している。サイバー攻撃が「データの問題」を超えて「人命に関わる問題」であることは、もはや比喩ではない。 [6][7]

実際の事例も、その現実を裏づけている。2021年のアイルランド保健サービス執行部(HSE)へのランサムウェア攻撃では、多数のシステムが深刻な障害を受け、HSEは影響抑制のために大部分のITシステムを停止した。アイルランドの国家サイバーセキュリティセンターは、医療業務に深刻な影響が出ており、一部の非緊急処置が延期されていると公表している。さらに2024年の英国Synnovis事案では、病理検査サービスの能力低下によって、南東ロンドンを中心に11,000件超の外来・予定処置の遅延が生じた。ここで見えるのは、1つの組織への攻撃が、地域医療体制全体へ連鎖的に広がる構図である。 [8][9][10]

被害は医療の現場だけでは終わらない。医療を支える請求・決済や事務処理の基盤が止まっても、診療継続は揺らぐ。2024年のChange Healthcareへの攻撃を受けて、米国病院協会(AHA)の調査では、94%の病院が財務的影響を受け、74%が直接的な患者ケアへの影響を報告した。サイバー攻撃は、診療現場の機器やカルテを止めるだけでなく、資金繰り、請求、連携業務を通じて、医療提供体制の持続可能性そのものを圧迫する。ゆえにサイバーセキュリティは、技術コストではなく、医療提供能力を維持するための基盤投資として捉え直されるべきである。 [11]

エネルギー分野でも、社会全体への波及は明白だ。CISAの分析によれば、2015年のウクライナ電力網へのサイバー攻撃では、3つの地域配電会社への侵入により約22万5,000人の利用者が停電の影響を受けた。2021年のColonial Pipeline 事案では、米東部でガソリンスタンドに長蛇の列ができ、燃料確保への不安が市民生活に広がった。前者はサイバー攻撃が物理的な供給停止を現実に起こしうることを示し、後者は、たとえ攻撃対象が一企業であっても、物流・移動・消費心理を通じて社会経済全体に連鎖することを可視化した。社会インフラ攻撃の本質は、ネットワーク侵害そのものではなく、その先で発生する現実世界の機能停止にある。 [12][13]

こうして見れば、社会インフラへのサイバー攻撃を「ITの問題」として片づけることはできない。それは、診療の遅れ、搬送の逼迫、供給停止、地域機能の麻痺を通じて、人々の健康、安全、生活基盤を直接揺るがす問題である。人間中心のセキュリティとは、抽象的な理念ではない。社会の中で実際に傷つくのが誰かを見据え、被害を"データ"ではなく"人"の単位で捉え直す姿勢である。1件の侵害を防ぐことは、1件のシステム障害を防ぐことではない。診療の遅れを防ぎ、搬送の逼迫を防ぎ、供給の混乱を防ぎ、地域社会の機能を守ることだ。だからこそ、社会インフラの防御は経済的必要性であると同時に、明確な社会的・倫理的責務でもある。 [3][4][7]

参考文献

  1. CISA, "Critical Infrastructure Security and Resilience"
    https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience
  2. CISA, "Critical Infrastructure Sectors"
    https://www.cisa.gov/topics/critical-infrastructure-security-and-resilience/critical-infrastructure-sectors
  3. CISA, "Ransomware Guide"
    https://www.cisa.gov/stopransomware/ransomware-guide
  4. U.S. Department of Health & Human Services, "Health Care Sector Cybersecurity"
    https://aspr.hhs.gov/cyber/Documents/Health-Care-Sector-Cybersecurity-Dec2023-508.pdf
  5. Neprash et al., "Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016 to 2021"
    https://pmc.ncbi.nlm.nih.gov/articles/PMC9856685/
  6. Neprash, McGlave, Nikpay, "Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients"
    https://www.aeaweb.org/articles?id=10.1257/pol.20240594
  7. CISA, "Provide Medical Care is in Critical Condition"
    https://www.cisa.gov/sites/default/files/publications/CISA_Insight_Provide_Medical_Care_Sep2021.pdf
  8. HSE, "Cyber-attack and HSE response / What happened"
    https://www2.hse.ie/services/cyber-attack/what-happened/
  9. National Cyber Security Centre Ireland, "Ransomware Attack on Health Sector - UPDATE 2021-05-16"
    https://www.ncsc.gov.ie/pdfs/HSE_Conti_140521_UPDATE.pdf
  10. NHS England, "Synnovis cyber incident"
    https://www.england.nhs.uk/synnovis-cyber-incident/
  11. American Hospital Association, "Change Healthcare cyberattack having significant disruptions on patient care, hospitals' finances"
    https://www.aha.org/news/news/2024-03-15-aha-survey-change-healthcare-cyberattack-having-significant-disruptions-patient-care-hospitals-finances
  12. CISA, "Cyber-Attack Against Ukrainian Critical Infrastructure"
    https://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01
  13. CISA, "The Attack on Colonial Pipeline: What We've Learned & What We've Done Over the Past Two Years"
    https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years

蓮見祥子 2026/04/11 13:36:03 Comment(0)

コメント

コメントを投稿する