新型コロナウイルス問題をリスクマネジメントで振り返る

　最初に断っておきたいのは、筆者は感染症や防疫、（リアルな）ウイルスの専門家ではない。本稿は、現実の新型コロナウイルスの対策や対応に100％有効な情報や分析を行っているわけではない。

　あくまで、リスクマネジメントやインシデント対応という視点で、今回起きているさまざまな問題事象、対応の共通点と、その解釈や各自の判断の参考情報、考え方の提示にすぎない。簡単に言えば、現状の国内新型コロナウイルスの状況は、サイバー攻撃やセキュリティインシデントにたとえるなら、どんな状況で、対策や対応方法はどういった技術やプロセスになるのかの考察だ。

　主旨としては、リスクマネジメントやサイバーセキュリティの視点から、公衆衛生や現状の新型コロナウイルス対策を分析するというより、新型コロナウイルス問題から、リスクマネジメントやサイバーセキュリティを振り返るものと思ってほしい。

現状をITシステムのインシデントにたとえると

　現在の新型コロナウイルスをとりまく状況を、ITシステムとそのサイバーインシデントにたとえるとどんな状況になるのだろうか。

　このマルウェアはネットワークを通じて感染を広げる能力がある（ひまつ感染）。マルウェアは、古いPCやOSへの攻撃効果は高いが、新しいシステムは被害を受けにくいこともわかっている。特にセキュリティアップデート（アルコール消毒・手洗い・うがい・マスク等）をしっかり行っていれば、一定程度の感染を防ぐ効果が確認されている。

　ただし、感染はスイッチでつながる同一LANセグメント（濃厚接触）内に限られる。インターネット（海外）の接続口は多数（空港や港湾）存在する。接続口はまとまったLANごとに持っており、ファイアウォールや非武装地帯（DMZ）の設定（検疫レベル）は最低限をクリアしているものの、均一ではない。結果として、全体へのダメージは少ないが、感染力が強く局所的なダメージは大きくなる。

　未知のマルウェアのため検査手法の精度（PCR精度・特異度）による誤検知と見逃しの問題、リソース（時間・予算・人員・法律）の問題があり、全デバイスの強制検査ができない。しかも、システムを止めるわけにもいかず、稼働環境でマルウェアを検知し復旧させていくしかない。なお、有効なワクチンソフトウェアは開発されていない。

　当面の対応は、システムを縮退運転（イベント中止・リモートワークなど）することで感染速度を遅くし、感染爆発を起こさせないことに注力するしかない。発症しなければシステムに影響はないので、マルウェアの発見・駆除は兆候見られたものについて詳細検査を行い、システムから隔離していく戦略となる。

インシデント対応の初動で考えること

　ITシステムにおいて、マルウェア感染の特定が困難で有効なワクチンソフトがなくてもシステムを再インストール、リプレースすれば復旧できるので、人間が感染するウイルスと同列には語れない。しかし、リスクマネジメントとインシデント対応を広くとらえた場合、適用できる、または参考にできる知見はあるはずだ。


　まず、前例がない事態への対応をどう考えるか。リスクマネジメントにおいて、BCPやDR、クライシス管理の考え方の導入と、復旧能力や回復力（レジリエンス）も問われる現在、前例がないインシデントへの対応マニュアルや最低限の決め事は常識といってもよい。

　インシデント対応手順で最も重要なのは「初動」だ。インシデント発生の第一報が正しく上がる仕組み、エスカレーションの手順。そして現場情報での優先作業の判断と意思決定、つまりトリアージ作業に、そのあとのすべての作業や対策の成果が決まる。

　新型コロナウイルスの場合、国内の第一報をどの時点と捉えるか意見が分かれそうだが、仮に国内で最初の感染者が確認されたタイミングだとしよう。最初の感染者は日本国籍ではないが、中国からの帰国者だった。

　エピデミック（流行）が顕在化しつつある国からの感染者は、たとえば、ファイアウォールやEDRのログからマルウェアの侵入が確認された状態だ。ちなみに、税関の健康診断や体温測定で感染者を検知できていれば、ファイアウォールのフィルタリング機能で止めていた、つまり水際対策が功を奏した状態といえる。

【次ページ】システムにおいては汚染チェックをしない理由はない