医療機器企業が狙われやすい構造
メドトロニックはITネットワークへのサイバー攻撃を公表し、現時点で業務影響は限定的と説明した。医療機器企業は、業務ITに加え、工場OTや製品組込みソフト(SaMD含む)を抱える複合環境である。停止許容度が低い供給責任、設計・品質・規制関連の高価値情報、広いサプライチェーンが攻撃者にとっての「狙いどころ」になる。
ランサムウェアだけでなく、知財窃取やサプライチェーン経由の潜伏も成立しやすい。情シスは「ITだけ守ればよい」発想を捨て、製造・品質・開発・フィールドサービスまで含む影響を前提に備えるべきだ。特に委託先や保守経路は侵入面になりやすく、資産と接続の棚卸しが最初の防御線となる。
「業務に支障なし」の裏にある確認事項
業務影響が出ていないケースでも、早期検知・隔離、冗長化やBCP、IT/OT分離、侵害範囲の局所化といった要因が複合しているにすぎない。重要なのは「止まっていない」ことが「安全になった」ことを意味しない点である。潜伏、バックドア、特権ID悪用、情報流出は後から判明しやすい。
医療機器企業では、設計データや品質記録、規制提出資料の漏えいが、将来の安全性対応や競争力に直結する。加えて、開発環境や署名鍵、アップデート配布基盤が侵害されれば、顧客側へ影響が波及するサプライチェーン攻撃になり得る。情シスは調査範囲を業務系システムに限定せず、製造・開発・保守の要所を優先的に点検する必要がある。
初動対応の実務ポイント
初動は封じ込めと証拠保全の両立が要点である。端末隔離やアカウント停止を急ぐ一方、ログやクラウド監査証跡、メモリ・ディスクなどを確保できないと、原因究明と再発防止が破綻する。保持期間が短いID基盤やクラウド系ログは最優先で退避する。
次に、特権IDとリモート経路を最優先で点検する。VPN、VDI、RMM、委託先ポータル、サービスアカウント、APIキー、証明書を棚卸しし、疑わしい認証を遮断して強制リセットや再発行を行う。併せてバックアップは「存在」ではなく、オフライン/イミュータブル化、復旧手順の実行性、復旧後の再侵入防止まで確認する。
平時の統合対策と説明責任
中長期では、IT・OT・製品セキュリティを分断せず、重要資産(ID基盤、設計・品質データ、署名鍵)中心に最小権限と条件付きアクセスを段階導入する。OTは許可制通信、ジャンプサーバ、資産可視化、脆弱性管理の運用設計が現実解となる。脆弱性管理も社内・製品・委託先で基準とエスカレーションを統一し、例外管理を含めて運用する。
第三者リスクは契約要件(通知SLA、MFA、端末管理、ログ保持、対応期限)に落とし込み、年次評価だけでなく継続的モニタリングを検討すべきだ。さらに「業務に支障なし」と発信する場合でも、影響範囲、隔離状況、確認完了の範囲を整理し、顧客・パートナー・当局への説明計画を持つことが信頼維持につながる。