ZDNet Japanの10月30日記事を見て、考えてみたのですが、人の命を守る機器についてのパッチ当てというものは、訴訟問題にも発展しかねないので慎重になる医療機関が多いのかも知れませんね。
japan.zdnet.com
結果、セキュリティに関する基本的なベストプラクティスが適用されていれば、WannaCryの被害を食い止められていた可能性がある。
まったくもってその通りなのですが、パッチを当てたら動かなくなる(医療継続ができなくなる)。端末更新の予算が十分に取られてない。という問題があったとすると、病院側が抵抗したであろう事も予想がつきます。
だとすれば、パッチを当てられない事を前提とした、セキュリティ設計を考えるべきだったのかなと思いました。少なくても閉域網(クローズド環境)は維持していたとは思いますが、ネットワークが外部と接続している部分の脆弱性診断やFW、ネットワーク監視などが出来たのではないかな、、、と想像します。
