ランサム被害の半田病院が報告書「システム管理者が一人であり、脆弱性対策が困難」「余裕なく保守契約ないのも自然の成り行き」 [神★]
■ このスレッドは過去ログ倉庫に格納されています
4.1.5 安全管理のためのリソースの欠如
一方、総務省が 2022 年 4 月に公開した「公立病院の現状について」8にあるように、公立病院の経営状況 は悪化の一途をたどっており、半田病院のような 200 床未満(全体の 54.1%)9は、一般的に IT 部門を持って おらず、少しパソコンに詳しい庶務係が IT 担当を一人で兼任しているような状況にある。仮に半田病院が前 述したようなリスク管理対象にサイバー攻撃を含め BCP を策定することになっても、救急救命センターのよ うな高度な医療行為を担っていないため、医者と看護師の配分を調整しても人件費が膨らむ(医療機能の低下 していく病院はベッド当たりの入院単価が下がることとなるので人件費が上がる)。このような状況下では半 田病院においても医療情報システムの安全管理を実現するリソースを割く余裕は無く、サイバー攻撃リスク を盛り込んだ BCP 策定を理由に、IT 担当者の増員を予算に含めても受け入れられないのは明白である。その 結果、セキュリティ対策について医療システム事業者やサポートベンダーに頼らざるを得ない状況(且つ、サ ポートサービス契約によるキャッシュアウトも不可)となるのは自然の成り行きと考える。
コンピュータウイルス感染事案有識者会議調査報告書(PDF)
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー(PDF)
4.6
4.6.1
ベンダーとの協力関係について
現況
半田病院は、情報システム管理者が一人であり、管理者は 200 台を超える端末と十数台のサーバー、閉域 網ネットワークの管理に加えて、電子カルテシステムの不足を補うサブシステムの開発を行っていた。こう した状況で、日々更新される脆弱性情報の収集や、脆弱性対策を講じるのは困難と言わざるを得ない。
コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー(PDF)
https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
https://www.handa-hospital.jp/topics/2022/0616/index.html 人気配信者(推定年収3000万円)だった「タイガー倉内」氏
ワクワクイベントに釣られて3回目のワチンを4/15に打ち、4/26にあえなく死亡
https://i.imgur.com/THs5GLJ.png
https://i.imgur.com/SnI1FBt.png 保守契約してないのかよ!
そりゃベンダーは何もしないわ 人月200万でなんとかしてやっても良いぞ
インフラ第は別途 ベンダー「保守契約がないので無料で作業はできません」
そらそうやろ 「金がなくて増員もできないし保守契約も出来ないけどベンダーは助けろ!」
草 >>2
持病でもありそうな顔しておられるがどんなものかな Windows11なら多少マシになるやろ
さっさと変えろ > その 結果、セキュリティ対策について医療システム事業者やサポートベンダーに頼らざるを得ない状況(且つ、サ ポートサービス契約によるキャッシュアウトも不可)となるのは自然の成り行きと考える。
自然じゃねーよ異常だよ インターネットにちょっと詳しいだけの人がシステムの対応なんかできるわけないしちゃんとかけるべきところに金かけろよ そのシステム担当者もそこらへんの看護師並みかそれ以下の給料なんだろ? システムやセキュリティに金かけなかったらランサムウェアに感染しました
アホかと >>10
「アドバイスはできるだろ!」とか無理筋の言い訳はほんと草 >>22
調査報告書公開したからまともなのかと思ったら言い訳が140ページ並んでて笑ったわ 政府からしてUSBとは何ぞや?
から覚えないとならんようだし仕方ないね。 システム管理者が一人いるなら言い訳すんなと
100%病院側が悪い 近所の病院の情シスは正規2人と契約(夜勤)1人
正規のうち部長は定年退職した医者で在籍してるだけ、夜勤の契約社員はただの警備員で実質1人
そしてその1人の基本給は13.5万円。ちな出勤すらしない部長の基本給は110万円 「経費削減!まずはセキュリティから!保守契約なんていらない金の無駄!アップデートは面倒だから禁止!」
こういう奴が多すぎ IT外業種の中小企業に、専業のシステム管理者なんて
いるわけないでしょ。
MS Officeか、業務ソフト以外の画面開いてるだけでさぼってると
思われる。 病院って経営の素人の医者が経営の実権なので、異常ドケチ経営が非常に多い
特に事務職は言っては悪いが、最低の扱いとなりベテラン看護師長にも怒鳴られ追い出される事務職もいる
ましてや情報システム系なんて論外で無駄な議論させんなよというまじの本音だろうね 案の定な。分かりもしないのがデジタル化するからそうなる >>1
この病院のit担当者が頭おかしいんじゃないの?? ベンダーから保守契約とかリプレース勧められてたんだろうけど、金ないとか言って放置してたのかもな >少しパソコンに詳しい庶務係が IT 担当を一人で兼任
手当もついてなさそうだよな >>30
事務方の地位が圧倒的に低いからなあ
そりゃまあ医者に頭が上がらないのはわかるけどさ >>33
IT担当者がおかしいんじゃなくて、人事がおかしい 医者にはカネいっぱい払います
看護師にはカネ払います
システム管理者には払いません
単なるIT軽視です 今四十代半ばぐらいまでの医師は学生、院生、インターン時代に
必要上UNIXやSQLの基本操作を習得した人が多く
下手に「DNS立ち上げたときはしんどかったなあ」とか「MS SQLServerの変態構文には参った」
などと漏らそうものならなし崩し的に「隠れたシステム管理者」に祀り上げられることが多い
働き盛りの医師がそんなものまで押し付けられたら命がもたないので
「いや、パソコンはちょっとさわれるぐらい…」
「医療システムならなんでも触れますけど…」
と逃げまわった時代があった ここはむしろ国が金出してやれよって思うわ
勤務医2人分くらいはコストかかるんだから 病院もそうだけど企業でIT部門が軽んじられてることがよく分かる例 >>30
優秀なら転職しちゃうだろうね
発言権もほぼないからヤバいと思っても改善できないし
責任負いたくなくて辞めるって人も多そう 半田病院は、情報システム管理者が一人であり、管理者は 200 台を超える端末と十数台のサーバー、閉域 網ネットワークの管理に加えて、電子カルテシステムの不足を補うサブシステムの開発を行っていた。
うわぁ…絶対に働きたくないでござるな環境やな >>47
>半田病院は、情報システム管理者が一人であり、管理者は 200 台を超える端末と十数台のサーバー、
>閉域 網ネットワークの管理に加えて、電子カルテシステムの不足を補うサブシステムの開発を行っていた。
報告書とか監査以前の問題だな こういうブラック企業が淘汰されるのは良いことだわな
はよ潰れろ ◼ VPN装置の脆弱性管理を実施していなかった 病院情報システム、検査機器等のリモート保守のために設置された Fortinet 社の VPN 装置 FortiGate 60E の脆弱性(CVE-2018-13379)10が放置されていた。
◼ 同脆弱性を利用した認証情報が漏洩したが、ID、パスワードを変更していなかった
2021 年 9 月に同脆弱性を悪用し全世界で 87,000 台の ID、パスワードが公開 されたが、 本件調査では、その漏洩データに、半田病院のグローバル IP アドレス、ID、パスワードが 含まれていた事を確認している。
こんな状況で必死こいてベンダーに責任転嫁しようとしてるの頭おかしいとしか思えないんだが こういうのこそデジ庁が出てきてなんか指導するなり勧告するなりするもんじゃないの 中小企業はどこもこんな感じ
社員何名に付きIT専業一人割り当てろ、みたいな法律を作るしかないな どんなベンダー使っても保守契約なけりゃ脆弱性に気づけんやろ 情シスを利益を産まない部門として理解してて
費用ばかり嵩むのでワンオペなのか。
スペシャルな人ならワンマンアーミーで回るだろうけど…そんな人引く手数多よ >>47
月150なら…
はっきり言って1名で抱えられる上限超えてる
しかも病院て、、ヤバすぎ 一人でも定期的にバックアップ取る仕組み導入できるだろ まあ、こういう現代の経営に対応できないところはどんどん退場してもらった方が、経済全体としてはいいんだろうな 大企業だって脆弱性狙われてよく問題になるのにワンオペなんかで対策なんかできるわけない 医療と介護のIT職は冷遇されがちだけど、
国がシステム管理に点数割かない限り変わんねーだろな >>47
そうなんだよ 病院ってどこも同じような感じ。
扱ってる個人情報のレベルが高いのと、止まったときに人命に関わるので影響もとても大きい
金融機関並みのセキュリティが必要なんだが、人、物、金、どれもまともにない。
各病院にまかせていて無理なのは行政もわかってるだろう。 コンピューターが止まったら死人が出る、と言うなら
もう法律でIT専業の雇用を義務付けないとだめだよな
運送屋に整備士がいるのと一緒 >その結果、セキュリティ対策について医療システム事業者やサポートベンダーに頼
>らざるを得ない状況(且つ、サポートサービス契約によるキャッシュアウトも不可)
>となるのは自然の成り行きと考える
この変な日本語は何なの?何が言いたいんだ?
一般の企業がセキュリティに対する専門知識が足らないので、それを保守契約で補う
というのは普通に行われていて、対応手段として何も問題がないだろう
セキュリティに対する専門知識が足らないのに、外部の保守サービスを受ける費用も
ケチったと言いたいのか?
キャッシュアウトってどういう意味で使っているんだ
変なカタカナ英語を使うなよ >>34
EOL迎えても、動くからとか言ってそう
保守業務は無料とか思ってそう > 半田病院は、情報システム管理者が一人であり、管理者は 200 台を超える端末と十数台のサーバー、閉域 網ネットワークの管理に加えて、電子カルテシステムの不足を補うサブシステムの開発を行っていた。
無理ゲーにも程があるやろ >>80
この情報システム管理者がサブシステムの開発を行ったと思えないけどね
中途半端な文章すぎて意味が分からん
外部に委託していただけだろ 一人ということは逆を考えれば
やりたい放題ってことか >>82
ITに予算さかない病院が
外部に発注する予算あると思ってるのか 「半田市立半田病院」だと思っていたけど
「つるぎ町立半田病院」なんだ。「半田」由来は何? ジャーナルログを権限つけて保存サーバに入れときゃいいだけのような >>84
少しパソコンに詳しい庶務係がサブシステムの開発なんて出来ると思うのか? 電子カルテじゃなくて紙カルテにしておけば良かったのでは >>89
エクセルでちょっと便利スクリプト作った、とかかもしれん
マウスの動きを自動化するフリーソフト、みたいなのでも使い方によっては
仕事の手間が激減したりするし、まあそういうこともあるんじゃないかな >>84
病院向けのパッケージ化されたシステムってのがあったような気がする
パッケージを導入するだけならコストは抑えられるからね うちもこれです
増員申請すると、どこどこはうちより大きいけど一人でやってるとか真偽不明の理由で却下される 無理矢理ねじ込むなら国家資格にして病床に合わせて義務付けかな
何かあったら確実にスケープゴートでリスク満載やけど ざらっと読んだけどベンダーもセキュリティの知識そこまでないね
このレベルの知識で運用されてる企業は半分以上だと思う
それでもVPN回りは割と気にされがちだからVPN経由の被害は日常茶飯事とはいえない程度の頻度で済んでるけど
FW機器で守られたセグメントのサーバー個々のセキュリティ対策なんて超ざる >>94
そんなものをサブシステムと言っているんだったら、この報告書は全く信用できないな
公務員が作る報告書って、全員が悪くない、全員が悪いのどっちかになりやすくて、意味
が無いんだよね
今回の件では、どの順番で責任が重いとしたんだ ■ このスレッドは過去ログ倉庫に格納されています