「徳島県の町立病院の報告書って...」と思っていたら、 余りに、しっかりとした報告書で驚いた。
オレオレ要約では、以下の通りですが、 「必要なのは分かっているけど、手が回らない」状態が見えて、 つらい気持ちになります。
- ベンダーとの運用契約の内容が曖昧
- マルチベンダーなこともセキュリティアップデートを行ってなかった。 (直接の原因となったVPNだけでなく、windows updateも未実施)
- 病院の経営経営状況が芳しくなく、セキュリティ対応予算を確保しづらかった
- インシデント発生時、即座に災害として対応を開始したが、ITエンジニアがいなかった為、復旧対応に苦慮
