社内SEの人間ドック観察
はじめに
某病院にて人間ドックを初めて受けました。
結果は問題ありませんでした。
ただ今回の人間ドックでそこそこ大きい病院に長時間滞在することがなかったので、色々機器の観察もできました。
この記事はただ病院の機材などの状態を述べているだけです。
PCはDell
診察室、処置室においてあったPCはすべてDellでした。ノートパソコンは確認できませんでしたが、デスクトップはOptiplex3060でした。
そろそろオンサイト5年保守でも保守切れが近いような気がします。
セキュリティリスク
PC名とIPアドレスがデスクトップに貼られていました。
運用保守で関係でそうしたと思いますが、PC名は良くてもIPアドレスはどうなんだろうか・・・
更にPCにUltraVNCがインストールされていました。
この気持ちもよくわかりますが、せめてインジケーターは隠しましょう。
アクセスポイントはAruba
機器名までの判別はできませんでしたが、Arubaでした。
天井にアクセスポイントがついていましたが、こちらにもIPアドレスのテプラがついていました。
超音波検査器
超音波検査も初めて受けたのですが、あの専用機器のコントローラーはどうなんでしょう・・・
使いやすい操作設計になっているんでしょうか?
トラックボールで操作していましたが、検査してくれた方もあまり慣れた感じはしませんでした。マウスかトラックパッドであればもう少し、早く操作できそうな気がしました。
その他
結果を教えてくれた先生のPCもDellでしたが、メインモニタの他にX線写真などを映すモニタはEIZOでした。このへんはさすがだなーという感じです
それ以外の検査機器はLAN接続はされておらず、都度検査数値がレシート状で印刷され、それを入力する運用でした。この運用が妥当なラインだと思います。
高度にIT化しすぎると色々柔軟性が落ちてしまいます。
一番ビックリしたのが、身長測定が自動で測定されたのはびっくりしました。
最後の支払窓口を眺めていたら、タイムレコーダーがチラ見できましたが、iPadが壁に取り付けられており、雰囲気からSaas系の勤怠管理システムを導入していると思います。
なぜ観察する?
社内SEとして感じるのは、まず不特定多数の人間が出入りする施設のIT機器を露出させるのはセキュリティリスクだと感じています。
IT機器管理者の端くれとしてはこのニュースは他人事に感じていません。
医療機器を導入するベンダーさんや病院内SEさんには運用を考えながらもセキュリティの向上を検討してもらいたいです。
セキュリティ端末を入れるだけがセキュリティ対策だけではありません。
IPアドレスを隠すだけでも対策になります。
専用ソフトは流通性が低いので、脆弱性があっても発見までには至らないと思いますが、UltraVNCなどの流通しているソフトの扱いには注意が必要かと思います。
今回ドックに行った病院が攻撃者の標的にならない事を願いつつ、きちんと対策してほしいと思います。
