大学のキャンパスネットワーク管理経験と厚労省の調査研究から孫子の言う敵の状況、己の状況を説明し、ISMSを基本にした自己責任となったサイバーセキュリティ対策の現状を考える。情報収集し裏社会で販売するボットネットから仮想通貨により直接利益を得るランサムウェアの時代になり、これも①ウイルス配布、②脆弱性侵入、③サプライチェーン型と変遷し、③は日本特有の弱点が明確なった。一方、IMDRFの世界的な流れの中で3省２ガイドラインはISMSを基本になった。ISMSでは①組織を作り、②範囲決定、③資産管理台帳作成、④リスク分析、⑤セキュリティポリシー作成、⑥現場適応、⑦評価し見直すPDCAサイクルを回すことが基本になっている。①組織が無く、技術者雇用、人材育成が課題となり、②では院内ネットワークに遠隔保守機器が多数存在する状況で責任分解点が課題である。これにはハード、ソフト、情報の責任分解点を考え契約で決める必要がある。③ではベンダーにある資料が必要になるが、MDS, SDS, SBOMの提出が企業責任なっているが、両者に定着するまで時間を要すると思われる。④では守るべき情報と侵入想定からの防御策が重要である。⑤では利便性のための管理者権限の共通ID, パスワードの「閉じたネットワーク神話」は論外で、脆弱性などの要因を考えると「多重防御と監視」が基本である。⑥では、遠隔保守のLTE接続、「匿名化しますから、、」の企業説明を信用した遠隔読影等の接続などが危惧される。不検知もあり得るウイルス検知は部品での侵入が増えたのでEDRが必須に思えるが、端末アプリの制限で不要にもなる。検知が容易になる標準化の導入、仮想ブラウザ・仮想サーバ等の仮想化技術等の最新技術の導入も有効である。企業とユーザが協働した対応が必要だが、丸投げでは隠蔽もあり契約や保守報告書から見直す必要がある。