社内セキュリティ教育の教材として調査報告書（つるぎ町立半田病院様公開文書）を採用してみました

2022.08.31

半田病院様の調査報告書を教材にしてISMS推進チームの教育を実施した
各スタッフの感想や意見をチームで共有しそれに対する意見交換を行った
アウトプットを今後の活動に反映させていく

岩石です。今年の夏って案外と天気が悪かったですね。6月ごろの天気の方が安定して晴れの日が多かった印象があります（岩石個人の感想）。でも例年と変わらず暑く、日中のウォーキングは控えていました。最近になって朝晩が過ごしやすい日もあり、そろそろ夏も終わりなのかなと思うとちょっと寂しい気もしますね（寒いのが苦手なので冬より夏が好きです）。

そういえば今日は8月31日。今年も3分の2が過ぎたんですね。

社内セキュリティ教育

弊社では社員の継続的なセキュリティ教育について、業務の対象や取り扱う情報によって数種類の教育を行い、必要に応じそれに参加することとしています。今回取り上げるのは当社のISMSを推進するチームスタッフに向けた教育です。

組織規模が小さいのでスタッフは兼務でISMS推進活動を行なっています。セキュリティやマネジメントに特に詳しいというわけでもありません。過去にはISO27001規格を理解するための教育やリスクアセスメントの手順、また内部監査についての学びを実施したりしました。

今年はインシデント事例からの学びを行うことになりました。教材を探す目的でいくつか公開されている報告書を確認したのですが、チーム内で相談した結果、つるぎ町立半田病院様の調査報告書を採用することにしました。

採用した理由は、

技術的な専門用語に疎いスタッフでも読みやすい
一般報道などでも取り上げられており、報告書以外にも当該事例の情報が得やすい
IT企業の事例では無いことが一般事例として理解しやすそう

といったところでした。

対象としたインシデント事例

このインシデントは院内のPCがランサムウェアに感染しその結果電子カルテなどが利用できなくなり外来患者の受付を停止せざるを得なくなったなどの影響があった事例です。

コンピュータウイルス感染事案有識者会議調査報告書について / つるぎ町立半田病院

VPN装置に脆弱性が放置されたままであったことが原因ではないかとされてますが、この脆弱性への対応が進まなかったことへの現実的な事情についても報告書では触れられており、社内セキュリティ組織を持っていない、またセキュリティインシデントの対応に長けた専門企業に頼ることが難しい地方の組織の現状を考えざるを得ない内容でした。

教育

今回の教育は、

公開文書を各自取得
各自で読み内容を理解する
あらかじめ準備していたWebフォーム（Googleフォーム）の設問に記述回答
それぞれの回答を全員で見ながらディスカッション

という手順で実施しました。

ディスカッションの様子

前述の通り弊社のISMS推進チームは技術的専門家の集まりではないため、今回採用したのは技術編では無い方の報告書です。また3〜4章の技術的な内容は技術的な単語力が必要と思われたので読むだけで設問には含めませんでした。

コンピュータウイルス感染事案有識者会議調査報告書（PDF）つるぎ町立半田病院

社内の記録でもあるため設問や回答の内容は公開しませんが、基本的に読んで感じたことを伝え、最終的に自分達の活動に活かす内容を話し合う形式としました。ディスカッション当日はスタッフのうち3名はオフィスで、その他のスタッフはテレワークのためオンラインでディスカションに参加となりました。

普段の業務やスキルなども様々な社員がそれぞれの観点で感想や疑問などを出して、また自分達の取り組みを振り返って意見を伝え、今後の活動に使えそうなアウトプットを得ることもできました。

感想

災害拠点病院など特定の医療機関に対しては国などがBCPの整備を求めているそうで、半田病院様でもコンピューターセキュリティを意識したものではなかったのですがBCPが構築されており、その手順を使用することで夜間のインシデント認知からの関係者参集につなげて対応を進められたそうです。

ITが社会活動の多くを担っている現在ではランサムウェアのようなマルウェアの感染が事業継続が困難な状態への引き金になる可能性もあり、単なる1つの事象ではなく組織として取り組むことが重要と思います。様々な対策として現状出来上がっているもので満足せず未対応の分野の事態に対応ができるように見直しを続けていかなければいけないと感じました。

半田病院様では数ヶ月に渡り大変な対応をなさったと想像します。おそらくは経営的にも大きなダメージがあったと思います。そのような中で状況を世間に伝えられたことや、きちんとした報告を公開なさったことについて本当に頭が下がります。今までランサムウェアに無関心であった方々への啓発になり、世の中の組織活動にも影響を与えたと感じます。

こういったインシデント対応の体験を公開なさる組織が以前よりも増えている感覚があります。ネガティブに受け取られかねない内容をあえて提供なさることに感謝いたします。

【お知らせ】
弊社ではAWSを活用したソリューションの企画・設計・構築・運用や、Ruby on Rails・JavaScriptフレームワークなどを使用したアプリケーション開発を行うスタッフを募集しています。弊社での勤務に関心をお持ちの方は、知り合いの弊社社員・関係者を通じてご連絡ください。詳細はこちら。

こちらの記事もオススメです！

	TwitterやPodcastから効率よくセキュリティ情報を収集するのだ！セキュリティに関する新しい情報を収集し、教育や改善など社内の活動に繋げています。
	Redmine 5.0 の新機能で仕事の効率が上がりました Redmine 5.0で追加された「チケットのオートウォッチ」「メンション」などの機能が便利です。
	github.com/redmine/redmine の運用を引き継いだ RedmineのGitHub上のミラーリポジトリの運用をファーエンドテクノロジーが引き継ぎました。
	Ubuntuの仮想環境を構築・管理できる「Multipass」を使ってみた Multipassは、Ubuntuの仮想環境を構築し管理することができるソフトウェア。そのメリットとデメリット。
	GitLabからGitHubへリポジトリを移行しました Gitlab・GitHubともにAPIが充実しているため、やりたいことのほとんどをコード化して多くのリポジトリの移行を素早く行えました。

ファーエンドテクノロジーからのお知らせ（2025/04/23更新）

	社員研修に伴うサポート体制変更・休業のお知らせ（5/20〜23）社員研修に伴い、5月20日〜23日はサポート体制の変更および休業とさせていただきます。
	オープンソースカンファレンス2025 Nagoyaに弊社代表の前田が登壇（ブース出展あり）オープンソースカンファレンス（OSC）2025 Nagoyaに弊社代表の前田が登壇。『Redmineの意外と知らない便利な機能（Redmine 6.0 対応版）』をテーマに発表します。
	エンタープライズプラン向け「優先サポート」を開始 My Redmineでは、エンタープライズプランをご契約のお客様向けにサポート対応を優先的に行う「優先サポート（プライオリティサポート）」を開始いたしました。
	プロジェクト管理ツール「RedMica」バージョン 3.1.0をリリース Redmine互換のオープンソースソフトウェアファーエンドテクノロジー株式会社は、2024年11月19日(日本時間)、Redmine互換のプロジェクト管理ソフトウェア「RedMica 3.1.0」をリリースしました。
	Redmineの最新情報をメールでお知らせする「Redmine News」配信中新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け