以下のサイトから読むことができるよ。
以下は個人の感想だ。
--------------
会 長 森井 昌克 神戸大学大学院工学研究科教授
副会長 上田 哲史 徳島大学情報センター教授
--------------
→有識者会議のツートップが大学の先生か。。。
このレベルの報告書を作成するのであれば、実際の現場での経験が皆無な人たちの可能性大だね。
この手の話で大学の先生だと謝礼は無しかな。
そうだとしたら適切な対価を払うという発想自体がないのかな。
--------------
当該調査については Software ISAC のサイバーボランティア制度による現地調査委員を招聘し、インシデントの課題や再発防止策の深化に努めた。
--------------
→適切な対価を払うという意識はなくて、ボランティアを活用なのね。
--------------
しかしながら、電子カルテを導入・保守している事業者や、関連のシステムやセキュリティ製品を導入・保守し
ている事業者、フォレンジックを請け負った事業者も、インシデント対応に秀でているわけではないため、
事業者側の対応に対する不誠実さが生じていたのも事実である。
--------------
→ここでいう不誠実な対応というのは具体的に何なのかが気になるな。
何を誠実な対応としているのだろうか。
当初の取り決めた役務が提供できていなかったのかしらん。
--------------
FortiGate(Fortinet 社)の VPN のファームウェアのアップデーを実施。
--------------
→なんだ。ForiGateだったのね。
--------------
エンジニアの派遣要請を行う。(→B社で検討も応じず。)
--------------
→ここが不誠実な対応に映ったのかしらん。
でも、よく考えてみると、いきなり環境情報もよく把握していなく、修羅場のような状態の現場に派遣できるレベルのヒトが都合よく空いているわけないよね。
--------------
全端末へのウイルス対策ソフトの導入決定
--------------
→えっ。
全端末にウイルス対策ソフトが導入されていなかったのですか。
このご時世に。
ビックリ。
--------------
フォレンジック事業者の調査にて感染なしと確認された端末から、ウイルスが内在していることを確認。
--------------
→これは不誠実な対応に見えてしまうね。
そう見えるのは仕方ないね。
--------------
一部、ファストフォレンジック作業に対する説明不備があったことを確認
--------------
→これは不誠実な対応に見えてしまうね。
でも説明不備とはなんだろうか。
また説明時に議事録などは取っていたのかしらん。
--------------
C 社に提案や対応の遅れに対するクレームを入れる。
--------------
→C社は電カルベンダなので言いがかりもいいところだと思っていそうだな。
--------------
サーバーが複数台B社から返却される。しかし、B社にて修復された端末で修復漏れを確認
--------------
→これは不誠実な対応に見えてしまうね。
B社しっかりしろよといったところ。
--------------
外来にて季節性インフルエンザの予防接種。大勢の方が来院し大混乱。
--------------
→情報の粒度が異なるものを紛れ込ませるとは、やっている感をアピールしたいといのがビシビシと伝わってくるね。
--------------
バックアップサーバーのデータが2018 年以降物理的に削除されていることを確認。
--------------
→ランサムウェア攻撃なら普通に考えられることだね。
むしろ、ここでわかったのかよ。
遅すぎね、といった感想しかないよね。
--------------
各種端末やサーバーの設定対応継続。
残りの端末の配布。
データの移行作業。
--------------
→年末年始にこの作業ということは泊まり込んでの作業かな。
C社お疲れ様といった感想だね。
--------------
しかし、サイバーセキュリティに対する知識や経験不足から、初動対応に戸惑いや
遅れが生じていることは否定できない。また関係するいずれの事業者もサイバーセキュリティに関する知識
や経験も浅く、封じ込めや復旧対応など、ちぐはぐな対応が行われていた。
--------------
→時系列で事象をおってみると、おっしゃる通りといった感想だ。
ただし、これは病院側だけの主張なので事業者側の説明も欲しいところだ。
--------------
半田病院のエンジニア派遣要請に各事業者が応じ、現地で対応を協力していればインシデント対応はより迅速に行われたものと考える。
--------------
→要請に答えられるエンジニアの有無と、提示した費用を知りたいところだ。
そもそも各事業者が応じれる体制であったのかも疑問だしね。
図 1 電子カルテシステム概要図をみるとネットワークセキュリティシステムとあるが、これは何なのだろうか?
あとファイアウォールはなかったのかしらん。
--------------
しかしながら、一部の端末やサーバーはB社に送付し、フォレンジックの作業が行われているようだが、B社提出の調査報告書の内容が希薄なため、その全容を解明することはで
きなかった。
--------------
→B社はきっちりとしたセキュリティベンダではなかったみたいだね。
そんな事業者に依頼となると、依頼側にも管理責任ないし発注責任があるような気もするが、世間一般では違うのかしらん。
--------------
本脆弱性の説明が利用者に行き届いていないことや、本情報を導入や保守を行っている A 社から利用者へ説
明が行われていないことは、専門家としての対応や責任を果たしていないと言わざるを得ない。
--------------
→そもそもA社の契約内で説明することになっていたのかいなかったのかの記述が無い。
説明することになっていなかったとすると、無限に責任を負えといっているのとイコールだよね。
このあたりは大学の先生にはわからないのかしらん。
--------------
もう一点は、B社による復旧で今回のデータ復元に必要な手段を入手し、対応した可能性
である。特に後者の復旧においては、最終的な復旧方法はB社独自の調査のため詳細は把握できなかった
が、半田病院側との会議の中で「適合が困難で復旧に時間がかかっている」「修復プログラムを組んでい
る」といったようなやり取りがあったこと、さらには、データを復元できていることから、何かしらの方法
で修復に必要な手段を入手し、データの復元を行った可能性がある。なお、楕円曲線暗号などの暗号技術そ
のものを解決しなければデータ復旧を行うことができないため、B社の回答はセキュリティの初心者である
ユーザーへの説明不備であり、修復プログラムではなくデータ復元に必要な手段を入手したと考えるのが復
旧の流れとしては考えるのが妥当である。
--------------
→バックアップデータがないのにB社はどうやって復旧させたのだろうか。
この指摘はごもっともだ。
B社への不信感しかないね。
というか、B社に作業内容を提出させることはできなかったのだろうか。
これも謎だ。
--------------
事業者及びベンダーとして稼働後の運用保守支援サポートは必須であることは認識するも、契約がないため稼働後の責任は一切ないと認識していると思われる。
--------------
→契約がなければ責任が無いのは普通の感覚ではないのかしらん。
--------------
「アプリケーション」は病院と C 社との契約、「ハードウェア・OS 等のインフラの提供および設定」は病院と A 社との契約、という契約形態はこのような齟齬を正す機会を逸しさせており、
また意識的であったことは否めない。
--------------
→日本国の政策として、一括発注すると談合になり競争が働かないから分割発注をする方向に舵をきっていたはず。
この点を無視して、上記の内容はそれこそいただけないよ。
--------------
A 社は動作環境に関して「責任」はないと認識しているため、セキュリティに関する進言の意識もなかったと思われる。
--------------
→報告書なのでA社にヒアリングして、推測をするのではなく、事実を記述してほしいね。
--------------
踏襲して構わないと指示があったとしても、セキュリティ意識が欠落しているか、適切な設定を施す技術力が全く無かったと言わざるを得ない。
--------------
→指示があったのかなかったのかはとても重要だが、仮定の話に終始しているな。
--------------
脆弱性情報に関するセキュリティ知識が全く無かったと言わざるを得ない。
--------------
→この結論に至ったロジックがまったくわからない。
C社は担当外との認識、A社は社内運用ルールに基づき管理運営でしょ、なんで脆弱性情報に関するセキュリティ知識が全く無かったと断定できるのかしらん。
--------------
4.1 組織的な課題
--------------
→こんな課題がありまーすで終わってしまっているよね。
これもやっている感アピールの一種かな。
課題を解決するための現実的な運用に落とし込めなければNGではないのかしらん。
--------------
事業者及びベンダーの善管注意義務
--------------
→契約がないにも関わらず善管注意義務まで指摘されるなら、病院案件には関わりたくないねと普通は思うよね。
※善管注意義務とは、業務を委任された人の職業や専門家としての能力、社会的地位などから考えて通常期待される注意義務のこと。
--------------
いわば本事案は、ベンダーが昨今のセキュリティ事情を考慮せず、現在となっては極めて脆弱なシステムの販売と稼働を優先させたことにあった、といえるのではないか。
--------------
→一方的にベンダの責任にしようとしているね。
しかも事実ベースではなく、推測ベースでね。
--------------
「信頼性の高い情報システムの確保は、ユーザーとベンダーのたゆまない緊密な協働によってのみ得られるとの立場から、取引全般
においては、ユーザー自身が役割を理解しベンダーとの緊密な協働を行うことを前提」としており、このような緊密な協働がインシデント発生の事前、事中、事後からも確認することができなかった。
--------------
→今回のケースだと、ユーザ=病院側が役割を理解していなかったようにしか読めないな。
--------------
モデル契約は「ベンダーにおいては、情報システムの知識を有しない企業に対して、業として情報サービスを提供する専門家としての十分な配慮と注意を払う必要と一定の責任があり」と述べており、
--------------
→ベンダ側は有償での対応と考えているのかな。
全体的に費用についての記述が足りていないので、ベンダ側の対応が妥当か否かもよくわからないという印象だ。
