記事一覧
-
クリニックサイトのCSPを技術的に深掘りする ― 場合分け・SRI・unsafe-inlineの罠
前の記事ではCSPの判断軸を整理しました。この記事はその続きで、自分で技術的に理解したい経営者向けに、サイト種別ごとの優先度マトリクス・XSSの仕組み・CSPの限界・SRIや厳格設定の話を整理します。
-
CSPは「全クリニック必須」ではない ― 自院サイトに必要かを5分で見分ける
クリニックサイトの大半(Cartaスキャンでは98%)がCSP(Content Security Policy)未対応というデータがあります。ただし、すべてのサイトにCSPが必須かというと違います。自院に必要かどうかをサイトの種別から見分ける方法を整理します。
-
クリニックのドメインから偽メールが送られる前に ― SPF・DMARCの最低限
別の記事で「メールのドメインを見ても見分けられない」と書きました。だからこそ、ドメインを持っている側で偽メールを送らせない仕組みを入れる必要があります。クリニックの実態と、設定の最低限を整理します。
-
ID/パスワードだけのログインは終わりにする ― 経営者のMFA最低ライン
今でもID/パスワードだけで使っているSaaSはありませんか。流出済みパスワードは数十億件以上、自動攻撃は24時間動いています。完璧を目指すより、最低限のMFAを全アカウントに入れることの方が現実的です。
-
「それは要りません」と言える人を、一人持っておく
セキュリティ対策はやろうと思えばいくらでもお金をかけられます。重要なのは、システムのリスクに見合った対策を選ぶこと。不要な対策を不要だと言える判断軸を整理します。
-
「電子カルテが起動しない」朝 ― ランサムウェアは開業医にも来る
電子カルテが止まると、処方箋も出せず、予約も消え、紙カルテにも戻れません。2024年に実際の診療所が被害を受けています。「うちは小さいから大丈夫」は通用しません。
-
誰も読んでいない600ページのガイドライン ― 院長が知るべきことだけ抜き出す
厚生労働省の医療情報システム安全管理ガイドライン第6版は院長向けの義務を定めています。全部読む必要はありません。経営者として知るべきことと、ITベンダーに伝えるべきことに絞って整理します。
-
攻撃者が医療機関を選ぶ3つの理由
ランサムウェア攻撃は無差別ではありません。攻撃者は費用対効果を計算して標的を選びます。医療機関はその計算において、三重に有利な標的です。
-
バケツの穴は一つで十分 ― アサヒとアスクルを襲ったランサムウェアの共通構造
2025年の秋、大手企業2社が立て続けにランサムウェア被害を受けました。攻撃の入口は違いますが、構造は同じです。中小企業の経営者が自分ごとにすべきポイントを整理します。
-
URLを見ても意味がない ― フィッシングサイトから社員を守る現実的な防衛ライン
よく作られたフィッシングサイトは、セキュリティエンジニアでも見分けるのが難しいです。個人の判断力に頼る防御には限界があります。経営者が整えるべき仕組みを書きます。
-
送信者名を見ても意味がない ― 社員をフィッシングメールから守る現実的な方法
「怪しいメールに気をつけて」という社内啓発では限界があります。なぜ社員は引っかかるのか、その構造と経営者が整えるべき防衛ラインを書きます。
-
なぜあの病院は守れなかったのか ― 徳島半田病院の事件を院長視点で読み解く
2021年秋、徳島の地方病院でランサムウェア被害が起き、約2ヶ月診療が止まりました。この事件をセキュリティエンジニアとしてどう読んだか、そして院長は何を持ち帰るべきかを書きます。