NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

ランサムウェア被害にあった半田病院の問題点が明らかに(2)

 こんばんは。日曜日に書く予定が延び延びになってました。<(_ _)>

先週土曜日の続きになります。こちらは前回の記事になります。

karasuma-kitaoji.hatenablog.com

 昨日はVPN装置のファームウェアがアップデートされていなかったことと、VPN装置ベンダがアップデートをリリースしていたにもかかわらず、そのことを病院側に伝えていなかったことなどを書きました。

 他にもいろいろと指摘事項がありました。今回はその続きを書いて行くことにします。こちらはNHKの記事からです。

www3.nhk.or.jp

 病院の情報システム担当者が1人しかいなかったそうです。ここからは推測になりますが、他の業務と兼務で、専門職ではなく、ローテーションで回ってきた事務職ではないかという気がしてなりません。ここは推測ですので、これ以上深掘りしません。

 こうなると、ベンダの言いなりになるしかなかったのかなと思う面はあります。

 1人ということは、上司が医事課長か総務課長だったりして、非IT系上司なのでしょう。ITに関しては素人の可能性が十分にあります。担当者が声を上げても、上司には響かなかった可能性も十分に考えられます。

 そして、こちらは時事通信の記事です。

www.jiji.com

 OSのアップデートだけでなく、ウイルス対策ソフトの定義ファイルアップデートもOFFにしていたということのようです。電子カルテシステムや部門システムの安定稼働の妨げになるという理由のようです。

(これもどうかとは思いますが…)

 詳しい内容が日経xTECHに掲載されていました。無料部分だけでもかなり詳しい内容について触れられています。

xtech.nikkei.com

 VPN装置を含むインフラ部分を担当したA社と、電子カルテシステムを導入したC社。部分最適は保たれているんでしょうが、A社とC社ではカバー出来ない部分が放置されていたのではないでしょうか。

 「責任分界点の谷間」が出来てしまったいたことになります。各パートはそれぞれのベンダが面倒を見ていたのですが、全体を俯瞰的に見ている人が誰もいなかったのではないかという点が今回の問題を大きくしてしまったのだろうという風に見て取れます。

 「責任分界点の谷間」を誰かに押し付けてしまおうと誰もが考えていたのだろうなという気もします。結局ババ抜きになってしまっていて、誰も責任を取ろうとしなかった結果なのではないでしょうか。

 今回は町側の報告書でしたが、A社・C社側の意見も聞いてみたいものです。