パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染」記事へのコメント

  • by wolf03 (39616) on 2018年10月25日 18時53分 (#3504447) 日記
    ×ウイルス対策ソフトが最新ではなかった
    ○引っかかった馬鹿がいた
    • by Anonymous Coward

      例えパッチが最新でも、感染することはありますからね……。

      電子カルテってインターネットに接続する必要ないだろうから、
      誰かが感染端末を持ち込んでLANに繋いだんじゃないでしょうか。

      原因は、その人orその人が行っている業務手順でしょうね。

      • Re:原因誤り (スコア:5, 参考になる)

        by Anonymous Coward on 2018年10月25日 21時50分 (#3504575)

        大学病院になると研究や教育のネットワークが出てきてめんどいし、クリニックや小規模病院はネットワークを分けてないことも多いのでので、中規模の民間病院を想定して書いてみます。

        まず、インターネットと電子カルテのネットワークは一応分かれています。ただし、情報機器や医療機器ベンダーのリモートメンテナンスやウイルス対策ソフトの更新、機材管理などのため、マルチホームホストがある場合もあります。
        また、最近では地域医療ネットワークといって、外部のクリニックなどにカルテを公開しているケースもあります。この場合は、公開用のサーバがマルチホームになる場合もあります。
        いずれにしても、医療情報技師や電子カルテベンダーがしっかりと管理しているので、ここが問題になる可能性は低いです。

        ところで、医療業界は集計した診療データを頻繁に外部に送信しています。診療報酬の請求や、行政機関への各種報告などです。この場合、電子カルテのパソコンでデータを作成して、USBメモリなどでインターネットのパソコンに移してから送信します。
        他にも職種にかかわらず研修資料や学会資料作成のためにUSBメモリを使ってデータを持ち運ぶことは多いです。仕事の合間に資料作成をして、帰宅してからも続きをするなどです。
        さらに、ベンダーがメンテナンス用にUSBメモリを持ち込むこともあります。ベンダーがちゃんとチェックしているはずですが。。。
        ということで、USBメモリが弱点になりやすいです。

        ちなみに病院にあるパソコンは、事務機器としてのパソコンと医療機器としてのパソコンがあります。事務機器としてのパソコンはウイルス対策をしやすいですが、医療機器としてのパソコン、これは薬機法による承認を受けており、安易に構成を変えられません。
        セキュリティパッチやウイルス対策ソフトのインストールは構成変更に当たらない、という解釈をもありますが、法的な問題を嫌って納入された状態で使っている医療機関は多いと思います。

        という感じで医療機関にとってコンピュータウイルスとは、USBメモリなどの記憶媒体から侵入し、制度の隙間をついて感染していくものです。
        #例外もあるが・・・

        あ、そうだ。
        電子カルテ端末からそのままインターネットにつながる設定の病院、実はあります。もちろん、セキュリティ対策はちゃんとしていると聞いています。病院って外部監査が頻繁にあって、電子カルテのネットワークの安全性もチェックされています。
        なので、仕組み的には安心してもらっても大丈夫です、たぶん。

        親コメント
        • by Anonymous Coward

          自分のかかりつけのクリニックの院長せんせーは、ほーらメタボってこうなるんだよ
          って言いながらネットのサイト情報見せてくれます。 この情報、参考になる
          でしょって言いながら(笑

        • by Anonymous Coward

          ちょっと引っ掛かりますね。

          「診療報酬の請求」がレセプトデータのことを言っているのであれば、これは大半の中規模病院が電子カルテと連携のあるソフトウェアでデータを計算し、厚労省ガイドラインにのっとった通信方式(ただ鍵認証方式で暗号化しろ程度しか書いてない)で外部通信にてデータを渡しています。殆どのケース、この通信はいわゆるインターネットに接続された表のネットワークから行われるのではなく、電子カルテのある裏のネットワークから行われます。多くは線としてはパブリックインターネットを使い、その中でVPNを張るという形です。ルー

          • by Anonymous Coward

            レセプトの回線の接続については、病院の考え次第としか言えないと思います。
            電子カルテネットワークにつないでいる施設があってもおかしくないですし、そうじゃない施設も当然あります。
            ただ、社会保険診療報酬支払基金としては、「(レセコンとは別に)オンライン請求用のパソコンを別に準備することを推奨します」とは言っています(レセコンのネットワークにつなぐな、とは言ってないなw)。

            で、まぁ、内情を知る者としては、仕組みは大丈夫。ただ運用はどうだろうか、思った通りになってるか分からないと思っています。
            さすがに書類上から問題があれば、監査でつつかれますからね。

            #業界以外の方へ、病院の医療情報システムは、厚生省のガイドライン [mhlw.go.jp]に依って構築されています。多分。

    • by Anonymous Coward

      どんなセキュリティやってても、感染するときはするもんだよ。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...