サーバーのコンセントを外されるインシデント

タイトルからはずれるのですが、3月10日に出た「医療法施行規則の一部を改正する省令について」について触れておきます。

医療法施行規則の一部を改正され令和5年4月1日から施行されると。具体的には次のことが追加されます

規則第 14 条第2項を新設し、病院、診療所又は助産所の管理者が遵守すべき事項として、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じることを追加する。

医療法施行規則の一部を改正する省令より

必要な措置とは「医療情報システムの安全管理に関するガイドライン」を参照の上ということらしいけど、

安全管理ガイドラインに記載されている内容のうち、優先的に取り組むべき事項については、厚生労働省において別途チェックリストを作成し、後日通知する。

医療法施行規則の一部を改正する省令より

らしい。そのチェックリストとやらはいつでてくるのかな? 何にしてもセキュリティ対策… 私がいる法人はやっていないことはないのですが、どこまでやるのが必要十分なのかは正直わかりません。そしてその答えは出ることはないんだろうな。

さて、タイトルの件です。サーバー室で稼働中のサーバーのコンセントがUPSから抜かれるというインシデントが発生しました。

サーバー設置作業中に発生

この日、某ベンダーさんがラックにサーバーを取り付けていました。そのラックは既設のサーバーが複数あります。稼働中のサーバーがあるラックに新規にサーバーを設置することは何も珍しいことはありません(と思っています)。ベンダーさんも慣れた作業のはず。

ということで、現場に立ち会うこともなく、ナニカあれば連絡いただくようにしていました。何度か連絡を頂いてやりとりすることはありましたが作業は完了。作業完了時に間違って別のサーバーの電源をUPSから抜いてしまったという報告を受けました(+_+。

報告が発生時ではなく作業完了時だったのは実質問題が発生しなかったからのようです。問題が発生しなかったのは該当サーバーが電源を冗長化していたので1本電源供給が止まってもアラートがあがるだけで動きには問題がなかった次第。しかしそのサーバーで動いているシステムはいわゆる周術期患者情報システム… 電源の抜き方によってはとんでもないことになっていた可能性も。

今後の対策の説明を求める

稼働中のサーバーの電源を抜くなんてインシデントははじめてです。もっとも、今回とは別のベンダーさんですがスイッチ交換作業でスタックで稼働中のスタックケーブルを抜かれて法人全体のネットワークが死んだというインシデント…ではなくアクシデントは経験していますが(汗。

ベンダーさんには今後こういったインシデンツを発生させないための対策の作成と責任をとれる立場の方からの説明を依頼しました。私が理解できる対策を提示されるまでサーバー室への入室は禁止です。

今週末に説明をいただけるようですが、理解できる対策、少なくとも"対策"の説明があることを願うばかり。以前別ベンダーさんの別のトラブルですが、事象の説明だけで対策がまったくなくて途中でお引取りいただいた… というか、私が途中で退席するようなこともあったので。

それにしても電源を間違えて抜くって… どうなんだろう?

インフラ

Posted by あきつ丸