アカウント名:
パスワード:
大規模病院は大体において急性期病院なわけで、本来ログオン試行にすら時間をかけたくない状況が差し迫っているパターンが多いのではないかと思う。他ツリーの大安であるICカードについてはすぐに取り出せないしネックストラップすら付けられない状況があり、生体認証も指紋は手袋でアウト、画像も隠れている位置が多すぎて通るか微妙。なので、ログオン必須のシステムでは間違わないことが重視されていたのではないかと思う。
で、ここからは完全な床屋談義だが、本来やるべきは徹底的なネットワーク分離と権限管理(剥奪)。正直病院サイドから見てみれば、
救急病院と勘違いしていない?急性期というのは症状の区分であって、字面の印象と異なって必ずしも一刻を争う訳じゃないです。
基本、電子カルテシステムなんて始業でログインしたら基本そのままで頻繁にログイン/ログアウトするものではないのでパスワードの使い回しというのは単純にセキュリティポリシーの問題だと思います。
勘違いしてない。そして急性期が必ず一刻を争うものじゃないのも知っているが、他のフェーズに比べたら一刻を争う状況・早急且つ確実に確認すべき事項は多い。地方に行けば大規模なら同時に救急指定されているだろうし、私のかかりつけのところも大規模かつ急性期で三次救急指定だ。(唯一のかかりつけが三次救急というのも嫌なもんだが...)
そして、セキュリティポリシーの問題なのはその通り。ここは誰も否定してないよ。カルテシステムにログインしたらそのままなら、OSのログインを意識させずに権限も最小限にしてPCの電源押したらそのまま電子カルテシステムまで直行でいいよね?って話です。
いやそれが勘違いだって。大阪だよ。救急指定されてない急性期病院を知らないだけ?あと、だれでも電子カルテ記入できていいの? 輸血オーダーできていいの? 現場知らなすぎ。
まあ、発端は大阪だけど、この件は大阪に限らない話だからね。
> だれでも電子カルテ記入できていいの? 輸血オーダーできていいの? 現場知らなすぎ。については先のコメントを見るにログオンしっぱなし運用なんでしょ?現行だとそのまま結局ちょちょいと隙を見て他の人ができちゃうんじゃないの?なんか言っていることあべこべよ。それに、それがダメ運用なんだから、システム上で権限管理のステップ踏むしかないけど、それって通常のサイバー攻撃で使われるような「PCのOSのユーザーID」は関係ないよね?ここら辺をちゃんと分けて考えましょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
大病院サイドの言い分(想像) (スコア:3, 興味深い)
大規模病院は大体において急性期病院なわけで、本来ログオン試行にすら時間をかけたくない状況が差し迫っているパターンが多いのではないかと思う。
他ツリーの大安であるICカードについてはすぐに取り出せないしネックストラップすら付けられない状況があり、生体認証も指紋は手袋でアウト、画像も隠れている位置が多すぎて通るか微妙。
なので、ログオン必須のシステムでは間違わないことが重視されていたのではないかと思う。
で、ここからは完全な床屋談義だが、本来やるべきは徹底的なネットワーク分離と権限管理(剥奪)。
正直病院サイドから見てみれば、
Re: (スコア:0)
救急病院と勘違いしていない?
急性期というのは症状の区分であって、字面の印象と異なって必ずしも一刻を争う訳じゃないです。
基本、電子カルテシステムなんて始業でログインしたら基本そのままで頻繁にログイン/ログアウトするものではないので
パスワードの使い回しというのは単純にセキュリティポリシーの問題だと思います。
Re: (スコア:0)
勘違いしてない。そして急性期が必ず一刻を争うものじゃないのも知っているが、他のフェーズに比べたら一刻を争う状況・早急且つ確実に確認すべき事項は多い。
地方に行けば大規模なら同時に救急指定されているだろうし、私のかかりつけのところも大規模かつ急性期で三次救急指定だ。(唯一のかかりつけが三次救急というのも嫌なもんだが...)
そして、セキュリティポリシーの問題なのはその通り。ここは誰も否定してないよ。
カルテシステムにログインしたらそのままなら、OSのログインを意識させずに権限も最小限にしてPCの電源押したらそのまま電子カルテシステムまで直行でいいよね?って話です。
Re: (スコア:0)
いやそれが勘違いだって。大阪だよ。
救急指定されてない急性期病院を知らないだけ?
あと、だれでも電子カルテ記入できていいの? 輸血オーダーできていいの? 現場知らなすぎ。
Re:大病院サイドの言い分(想像) (スコア:1)
まあ、発端は大阪だけど、この件は大阪に限らない話だからね。
> だれでも電子カルテ記入できていいの? 輸血オーダーできていいの? 現場知らなすぎ。
については先のコメントを見るにログオンしっぱなし運用なんでしょ?現行だとそのまま結局ちょちょいと隙を見て他の人ができちゃうんじゃないの?なんか言っていることあべこべよ。
それに、それがダメ運用なんだから、システム上で権限管理のステップ踏むしかないけど、それって通常のサイバー攻撃で使われるような「PCのOSのユーザーID」は関係ないよね?ここら辺をちゃんと分けて考えましょ。