監査担当者は、2023年11月のランサムウェア攻撃以降、一部のシステムがいまだ完全には再構築されていないことから、あるスコットランドの自治体のサイバー・レジリエンスについて懸念を抱き続けている。
スコットランド西部の島嶼地域にあるComhairle nan Eilean Siar(西部諸島評議会)に対するランサムウェア攻撃では、複数のシステムを再構築する必要が生じるなどの被害が出ており、特に財務部門が大きな打撃を受けた。
住宅手当、住民税、非居住用物件税のシステムはいまだ復旧しておらず、膨大なデータ量がデジタル再構築のペースを遅らせていると、監査報告は指摘している。
本日スコットランドの会計委員会が公表した、この攻撃に関する報告書 [PDF]は、攻撃に対するComhairleの迅速な対応を評価しつつも、サイバーセキュリティ防御に残るさまざまなギャップを浮き彫りにしている。
攻撃によって破壊され、2年経った今も再構築されていないシステムがあるだけでなく、当時推奨された重要なサイバーセキュリティ改善策の一部も、いまだ実施されていない。
2025年9月時点で、10件の勧告のうち実行されたのは5件にとどまると監査は指摘している。いまだ対応されていない最も重要な分野には、職員向けトレーニングプログラムのテスト、インシデント対応計画のテスト、そしてNCSCのセキュリティ原則への完全準拠が含まれる。
監査報告書は次のように述べている。「ITインフラ、ガバナンス、備え、職員のキャパシティにおける弱点は2021/22年の時点で特定されており、もしそれらにもっと早く対処していれば、攻撃の影響は軽減されていた可能性があります。」
「優先事項として、合意されたすべての監査勧告について現実的かつ達成可能なタイムラインを設定し、選出議員が実行状況をより効果的に監視し、リスク軽減に注力できるようにすべきです。これは、すべての自治体における合意済み勧告にとって重要なことです。」
特定されたさまざまな弱点の中には、多くのシステムがローカルホストで運用されていたことも含まれていた。クラウドでホストされているM365を除き、ほとんどのシステムが攻撃の影響を受けた。
自治体のバックアップも、潜在的な攻撃の影響を最小限に抑えるには十分堅牢とは見なされなかったが、監査が認識していたオンプレミスの脆弱性と合わせても、当時の全体的なサイバー態勢はなお「十分」であると評価されていた。
会計委員会は、喫緊の課題として、Comhairleは2023年の攻撃と同程度に深刻なシナリオを想定し、更新済みの事業継続計画とインシデント対応計画をテストしなければならないと述べている。
同委員会は、Comhairleの攻撃への対応は「概ね効果的だった」としつつも、事業継続計画は組織全体で一貫して適用されておらず、十分にテストされてもいなかったと指摘する。
会計委員会の議長であるJo Armstrong氏は、声明の中で次のように述べた。
「このサイバー攻撃は、地方自治体がいかに脆弱であるか、そしてレジリエンスと復旧体制をテストすることがいかに急務であるかを示しています。自治体は、攻撃されるかどうかではなく、いつ攻撃されるかという前提で考える必要があります。ますますデジタル化が進む将来に備えるには、自治体が協力し合い、互いから学び、スコットランド政府を含むパートナーと緊密に連携するという、集合的なアプローチが必要です。」
「Comhairle nan Eilean Siarの職員は、サービス利用者、サプライヤー、地域社会への影響を軽減するために、期待を大きく上回る働きをしました。その結果、日々の業務に加えて追加の仕事を引き受けることになり、職員への負担は増大しました。私たちは、業務量やストレスを増大させうる重大な事象の際に、職員へのコミュニケーションと支援の方法を改善するための行動を、自治体に求めています。」
人員不足
空席となっているサイバーセキュリティ関連の職を埋めるのは、あらゆる組織にとって長年の課題だが、特に財政難にあえぐ地方自治体、なかでも本土から離れた地域にある自治体では、その傾向が顕著だ。
Comhairleがランサムウェア攻撃を受けた当時、監査によれば、自治体のITポスト全17枠のうち5枠が空席で、その中には上級システムアナリストのポストも含まれていた。また、一般職員向けの隔年のサイバーセキュリティ研修も途絶えていた。
さらに、ITヘルスチェックは期限を過ぎており、自治体のPublic Sector Network(PSN)認証も2022/23年度分が失効していた。攻撃発生時点でも更新されておらず、その時点でComhairleにはインシデント対応および災害復旧計画が存在しなかった。
職員は過去2年間、自治体サービスをオンラインに戻すために取り組んできた。2025年4月時点で、すべてのサービスは稼働しているものの、各部門は攻撃によって生じた業務のバックログ処理を任されており、それはいまだ解消されていない。
この業務の大半はデータベースの再構築に関するものだ。ランサムウェア攻撃により、多くのデータに職員がアクセスできなくなり、一部のデータは永久に失われた。その結果、自治体は2024年の年次決算書を期限内に公表できなかった。
自治体職員は、さまざまな情報源から可能な限りデータをかき集めて決算書を作成し、6カ月遅れで提出することになったが、それでもデータに欠落があることを認めている。
攻撃に直接関連するコストは、総額で約95万ポンド(125万ドル)と見積もられている。このうち約25万ポンド(33万ドル)はスコットランド政府からの補償で賄われ、自治体は総支出のより大きな部分をカバーするため、保険金の支払いを引き続き求めている。
これらのコストの主な内訳は、コンサルティング費用、クラウド環境構築費用、クラウドベースのシステムにかかる継続的な料金だ。監査は、Comhairleがデータベース再構築に職員を集中させたことで、成長機会を逃すなど、さらに多くの間接コストも発生したと指摘している。
攻撃後、職員が処理する業務量は大幅に増加し、アクセス不能となったデジタルシステムの代わりに手作業のプロセスが導入されたことで、個々人のキャパシティは限界まで引き伸ばされた。
この業務量の増加は今後数カ月から数年にわたり運営に影響を与えると見込まれており、職員の士気も低下していると監査は述べている。
Comhairleの対応
会計委員会は、当時のリソースを踏まえれば、自治体は適切な対応を行ったと評価している。自治体はこの事案をスコットランド中央政府やNCSCなどの組織にエスカレーションし、ランサムウェア攻撃のような深刻なシナリオに対して十分なストレステストが行われていなかったにもかかわらず、事業継続計画に従って対応した。
また、自らの人事・給与システムであるResourceLinkが、アクセス不能となったシステムの中で最も重要であることをいち早く特定し、機能回復に迅速に取り組んだ。給与支払いは同月末までに復旧し、職員が給料を受け取れない事態は避けられたほか、12月中旬までには一部機能も回復した。
自治体は、英国のサイバーセキュリティ企業NCC Groupなど、適切な規制当局や第三者と連携して復旧作業にあたり、復旧計画において一定の進展を遂げている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/27/western_isles_ransomware_council/
