アカウント名:
パスワード:
素人が「保守契約なんて金の無駄遣いだ」と甘く見るからこんなことになる。そもそも、例に出てる半田病院って酷い状況だぜ。
・VPN脆弱性を放置、保守契約なし(ここが侵入経路)・鯖のWidows Update停止・ADパスワードは最短5文字、ロックアウトなしなので何度でも試せる・PCの一部はWindows 7(2021年当時)・IE / ActiveXが有効(電子カルテで必要だったっぽい)
こんなん数え役満だろ。VPNだけパッチ当たってても、他がズタボロじゃん。
ちゃんと文書を読めばわかるけど(そして他にもかなり誤解したコメントあるけど)保守契約は前提やで。
保守契約の中に「脆弱性情報の提供」が明記されてなくても、やばい脆弱性は保守契約を結んでいる顧客にはちゃんとつたえるのが義理と責任ってもんでしょ、って書いてある。
そんなに違和感ないけどなあ。
それは違うだろう。保守内容に、セキュリティ情報の提供が含まれないレベルの保守しか結ばれていない事自体が根本原因でしょ?
普通に契約したら、セキュリティアップデートは保守範囲内でしょ?緊急パッチも何回まで含めるとか、ごく一般的で常識的な保守契約内容だと思うのだけど、それすら予算の都合でカットしてるわけでしょ。"普通"は、定期保守してるようなシステムが、セキュリティ侵害されたら、相当分は保守担当会社の責任でしょ。もし、責任を追及できない程度の契約しか結べてないなら、もうそのシステムは死んでるんだよ。死んでる患者の対応は医者じゃなくて、葬儀屋に頼めって話だよね。
その「保守契約」というのはただ働きを要求してませんか。
「脆弱性が明らかになった時の是正保守」まで契約に入れとかない理由は?やっぱりケチってるのかなぁ
# まあ契約レベルによるけど 努力義務とするか# 責任持ちたくないとか
医療系は許認可の関係でそもそもソフトウェアのアップデートが許されないてな話も聞きますが。24時間365日稼働で保守間合いも取れないでしょうし。
それは医療機器の側のソフトウェアで電子カルテなど基幹システム側は関係ないと思いますが。
電カル端末はレントゲンとかの画像情報扱うので医療機器扱いです。
問題の『Fortinet 製 VPN 装置』に保守契約が結ばれてるかは微妙な気がする (多分導入してるソフトウェアに対する保守契約じゃないかなぁ)。装置とかにも保守契約結んできちんとしてるなら未だにWindows 7なんて稼働させてないと思うんだよね。
ワンベンダだったり、保守契約とやらに稼働維持が含まれてれば私も違和感ないただ、現実には構築ベンダが複数いたり保守範囲も違うことがある
例えば、A社:ハードとOSを入れて終わりな会社。保守契約結んでないなら常識的に納入先の運用で適切に管理されるものと考えるB社:その基板上でシステムを作った会社。常識的にシステムは保守担当だが基板のメンテナンスは納入先の運用で適切に管理されるものと考える
半田病院の保守契約がこれに近いね。基盤はどのベンダも主担当じゃないみたいな、主担当は病院側のケース
この報告書は根本的に半田病院のケースを全く活かさずに考察されてる報告業務の有無が契約書に書かれてるかどうかの話じゃない
違和感しか無いよ。こんな事言い始めたら契約書いらねーよ
「信義誠実の原則」に基づいて受注後の要件変更は随時追加発注があって然るべきだよな。お互いに、「信義誠実」を無視してイケル所までギリギリの線攻めておきながら、何今更言ってんだよ。
さらに、以下のような記述もあります。(P15-16)
------------------------------------(2)システム保守契約の取扱い① 行政による資金面の支援が必要保守契約への責任分界点13の明文化(サイバーセキュリティ対策に関するサービス14提供を明記)に伴い、医療機関に発生する保守契約料金増額相当の資金面での支援(診療報酬上の加算等)を、行政が積極的に行うべきである。保守契約では、システムベンダーの役務として(中略)サイバーセキュリティ対策に関するサービスを明記することは少なかったと思われる。この実態に照らし、医療機関とし
病院って儲かってるイメージだけど、保守のために払う金はないのだろうか。単に契約結ぶのを面倒臭がってるだけに思えるのだが。
医者は儲かってるけど、病院は赤字が多い。
病院の63.6%が赤字経営。赤字に陥る原因や黒字化に必要なことを解説https://souken.shikigaku.jp/14098/ [shikigaku.jp]
> 医者は儲かってるけど、病院は赤字が多い。 節税ですかね。医者本人が儲かってりゃいいだろうし。
> 節税ですかね。医者本人が儲かってりゃいいだろうし。
個人病院は儲かってるけど、勤務医は給与こそ高いけどけっこうなブラック労働ですよ。勤務医が勤めてる病院は大儲けが不可能なように保険点数で調整されてる。
高いおちんぎん頂いてるならキリキリ働け
病院が儲かってるってのは海外とかのイメージでしょ日本は共産主義国だからお役所体質でカツカツが多い
病院は過剰供給なんですよ。日本のベッド数は、OECD最上位グループなので、減らせと言ってる
一方、クリニックは自由開業なので、コンビニと同じように自由競争。儲かるも潰れるも、オーナー次第。
尤もな内容でも喧嘩腰のモヒカンの話は通じにくいからねえ
それベンダーの問題じゃないの?わざわざ病院がセキュリティー弱くなるような設定したのかしら?特にActiveXとかわざわざ病院が指定した訳じゃなかろう。
一般人の感覚だと常識で分かるんだけど、弁護士や医者みたいな専門家は普通の人が知ってる情報も知らないことが多いのよね。そんな暇があれば医学の勉強とか実務とかしてるという。忙しいというよりSNSやニュースより優先度が高いタスクが常にあるイメージ。個人的な趣味次第だが。だからこそそういう基本を含めて脆弱性通知は重要。言うても病院にはいろんなスタッフがいるとは思うが。
他のコメにもチラチラ見え隠れしてるけど病院って売られてるシステムもカスなら買う側もカスみたいな要望するだから割れ鍋に綴じ蓋で大規模システム障害起こしてこうやって揉める
金の無駄というか、医療点数制で値段決まってるからシステム対策費として足りてないだけじゃねぇかなぁ・・・
大学とかと似てる部分もありそういくら財務省が用途を絞り切った研究費を付けても、使うための事務のボールペン代が出ないから全て無駄みたいな
あなた「保守契約がなくても」だと思ってる?「保守契約になくても」ですよ。
契約範囲に含まれていなければ一緒じゃん。納入機器のハードウェア故障対応のみの保守契約で、保守契約はあったとか言われても。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
保守契約結びなよ (スコア:4, すばらしい洞察)
素人が「保守契約なんて金の無駄遣いだ」と甘く見るからこんなことになる。
そもそも、例に出てる半田病院って酷い状況だぜ。
・VPN脆弱性を放置、保守契約なし(ここが侵入経路)
・鯖のWidows Update停止
・ADパスワードは最短5文字、ロックアウトなしなので何度でも試せる
・PCの一部はWindows 7(2021年当時)
・IE / ActiveXが有効(電子カルテで必要だったっぽい)
こんなん数え役満だろ。VPNだけパッチ当たってても、他がズタボロじゃん。
Re:保守契約結びなよ (スコア:5, 参考になる)
ちゃんと文書を読めばわかるけど(そして他にもかなり誤解したコメントあるけど)保守契約は前提やで。
保守契約の中に「脆弱性情報の提供」が明記されてなくても、やばい脆弱性は保守契約を結んでいる顧客にはちゃんとつたえるのが義理と責任ってもんでしょ、って書いてある。
そんなに違和感ないけどなあ。
Re: (スコア:0)
それは違うだろう。
保守内容に、セキュリティ情報の提供が含まれないレベルの保守しか結ばれていない事自体が根本原因でしょ?
普通に契約したら、セキュリティアップデートは保守範囲内でしょ?
緊急パッチも何回まで含めるとか、ごく一般的で常識的な保守契約内容だと思うのだけど、それすら予算の都合でカットしてるわけでしょ。
"普通"は、定期保守してるようなシステムが、セキュリティ侵害されたら、相当分は保守担当会社の責任でしょ。
もし、責任を追及できない程度の契約しか結べてないなら、もうそのシステムは死んでるんだよ。
死んでる患者の対応は医者じゃなくて、葬儀屋に頼めって話だよね。
Re: (スコア:0)
その「保守契約」というのはただ働きを要求してませんか。
Re: (スコア:0)
「脆弱性が明らかになった時の是正保守」まで契約に入れとかない理由は?
やっぱりケチってるのかなぁ
# まあ契約レベルによるけど 努力義務とするか
# 責任持ちたくないとか
Re: (スコア:0)
医療系は許認可の関係でそもそもソフトウェアのアップデートが許されないてな話も聞きますが。
24時間365日稼働で保守間合いも取れないでしょうし。
Re: (スコア:0)
それは医療機器の側のソフトウェアで
電子カルテなど基幹システム側は関係ないと思いますが。
Re: (スコア:0)
電カル端末はレントゲンとかの画像情報扱うので医療機器扱いです。
Re: (スコア:0)
問題の『Fortinet 製 VPN 装置』に保守契約が結ばれてるかは微妙な気がする (多分導入してるソフトウェアに対する保守契約じゃないかなぁ)。
装置とかにも保守契約結んできちんとしてるなら未だにWindows 7なんて稼働させてないと思うんだよね。
Re: (スコア:0)
ワンベンダだったり、保守契約とやらに稼働維持が含まれてれば私も違和感ない
ただ、現実には構築ベンダが複数いたり保守範囲も違うことがある
例えば、
A社:ハードとOSを入れて終わりな会社。保守契約結んでないなら常識的に納入先の運用で適切に管理されるものと考える
B社:その基板上でシステムを作った会社。常識的にシステムは保守担当だが基板のメンテナンスは納入先の運用で適切に管理されるものと考える
半田病院の保守契約がこれに近いね。基盤はどのベンダも主担当じゃないみたいな、主担当は病院側のケース
この報告書は根本的に半田病院のケースを全く活かさずに考察されてる
報告業務の有無が契約書に書かれてるかどうかの話じゃない
Re: (スコア:0)
違和感しか無いよ。
こんな事言い始めたら契約書いらねーよ
「信義誠実の原則」に基づいて受注後の要件変更は随時追加発注があって然るべきだよな。
お互いに、「信義誠実」を無視してイケル所までギリギリの線攻めておきながら、何今更言ってんだよ。
Re: (スコア:0)
さらに、以下のような記述もあります。(P15-16)
------------------------------------
(2)システム保守契約の取扱い
① 行政による資金面の支援が必要
保守契約への責任分界点13の明文化(サイバーセキュリティ対策に関するサ
ービス14提供を明記)に伴い、医療機関に発生する保守契約料金増額相当の資
金面での支援(診療報酬上の加算等)を、行政が積極的に行うべきである。
保守契約では、システムベンダーの役務として(中略)
サイバーセキュリティ対策に関するサービスを明記することは
少なかったと思われる。この実態に照らし、医療機関とし
Re: (スコア:0)
病院って儲かってるイメージだけど、保守のために払う金はないのだろうか。
単に契約結ぶのを面倒臭がってるだけに思えるのだが。
Re:保守契約結びなよ (スコア:2, 参考になる)
医者は儲かってるけど、病院は赤字が多い。
病院の63.6%が赤字経営。赤字に陥る原因や黒字化に必要なことを解説
https://souken.shikigaku.jp/14098/ [shikigaku.jp]
Re: (スコア:0)
> 医者は儲かってるけど、病院は赤字が多い。
節税ですかね。医者本人が儲かってりゃいいだろうし。
Re: (スコア:0)
> 節税ですかね。医者本人が儲かってりゃいいだろうし。
個人病院は儲かってるけど、勤務医は給与こそ高いけどけっこうなブラック労働ですよ。
勤務医が勤めてる病院は大儲けが不可能なように保険点数で調整されてる。
Re: (スコア:0)
高いおちんぎん頂いてるならキリキリ働け
Re: (スコア:0)
病院が儲かってるってのは海外とかのイメージでしょ
日本は共産主義国だからお役所体質でカツカツが多い
Re: (スコア:0)
病院は過剰供給なんですよ。
日本のベッド数は、OECD最上位グループなので、減らせと言ってる
一方、クリニックは自由開業なので、コンビニと同じように自由競争。
儲かるも潰れるも、オーナー次第。
Re: (スコア:0)
尤もな内容でも喧嘩腰のモヒカンの話は通じにくいからねえ
Re: (スコア:0)
それベンダーの問題じゃないの?
わざわざ病院がセキュリティー弱くなるような設定したのかしら?
特にActiveXとかわざわざ病院が指定した訳じゃなかろう。
一般人の感覚だと常識で分かるんだけど、弁護士や医者みたいな専門家は普通の人が知ってる情報も知らないことが多いのよね。
そんな暇があれば医学の勉強とか実務とかしてるという。
忙しいというよりSNSやニュースより優先度が高いタスクが常にあるイメージ。個人的な趣味次第だが。
だからこそそういう基本を含めて脆弱性通知は重要。
言うても病院にはいろんなスタッフがいるとは思うが。
Re: (スコア:0)
他のコメにもチラチラ見え隠れしてるけど
病院って売られてるシステムもカスなら買う側もカスみたいな要望する
だから割れ鍋に綴じ蓋で大規模システム障害起こしてこうやって揉める
Re: (スコア:0)
金の無駄というか、医療点数制で値段決まってるから
システム対策費として足りてないだけじゃねぇかなぁ・・・
Re: (スコア:0)
大学とかと似てる部分もありそう
いくら財務省が用途を絞り切った研究費を付けても、使うための事務のボールペン代が出ないから全て無駄みたいな
Re: (スコア:0)
あなた「保守契約がなくても」だと思ってる?「保守契約になくても」ですよ。
Re: (スコア:0)
契約範囲に含まれていなければ一緒じゃん。
納入機器のハードウェア故障対応のみの保守契約で、保守契約はあったとか言われても。