福井県済生会病院

完全な防御が困難なら
被害を最小限に抑える医療を止めないための新セキュリティ

概要

お客さまの課題

標的型攻撃の増加など、マルウェアの侵入を完全に防ぐのは困難。侵入のリスクがある中で、いかに医療サービスを止めないかが大きなテーマだった

解決策と効果

VMware NSXとTrend Micro Deep Security™ Virtual Applianceの連動によって、マルウェア侵入後の被害を最小化する仕組みを実現できた

"医療機関におけるセキュリティ対策は一筋縄ではいかなくなっています。そうした課題にトータルに対応してくれるトレンドマイクロ製品には、非常に助けられています"

福井県済生会病院
医療情報課 課長
塗茂 裕一 氏

導入の背景

生活困窮者に対する医療支援、および地域の公的病院として住民に質の高い医療を提供することをミッションに掲げる福井県済生会病院。「患者にとって優しい」病院であるために職員一丸となった医療活動を展開している。

その一環として、医療体制や医療設備、そして、IT環境の整備にも積極的に取り組んでいる。特にIT環境については、限られたリソースを有効活用しながら、様々な工夫を凝らして、ユーザの「利便性」とコストの「合理性」、そして「安全性」を追求したシステムを構築している。

例えば、同病院には、一般業務用の「情報系システム」と、電子カルテを中心に各診療部門用のシステムが接続された「診療系システム」という大きく2種類のシステムがある。当然、両システムはネットワークセグメントを分けて運用しているが、診療系システム用の端末にはVDI(Virtual Desktop Infrastructure)を採用。「一方を仮想化することで、1つの端末から2つのシステムに同時にアクセスできるようにして、安全性と利便性を両立しています」と同院の塗茂 裕一氏は話す。

また、両システムともサーバリソースの有効活用などの観点から、仮想化技術を導入してサーバ統合を図っているほか、各システムのメンテナンス用の端末も仮想化して1カ所に集め、管理ポイントを集約するという工夫を行っている。

お客さまの課題

このような取り組みの中で、同院はさらなるセキュリティの強化にも着手した。

もちろん、これまでもセキュリティには十分な注意を払ってきた。「しかし、既存の対策だけでは防ぎきれないインシデントが増えてきています。標的型攻撃はますます巧妙化しているし、外部のベンダーやメンテナンス業者がマルウェアを持ち込んでしまったこともありました」と塗茂氏は話す。

大きな被害は出ていないもののリスクがあるのは明らか。システムが停止し、医療サービスが継続できなくなるという最悪の事態をさけるためにも、一段と強固な対策が求められていたのである。

選定理由

そこで、同院が導入したのが仮想化基盤として利用している「VMware vSphere」とトレンドマイクロの「Trend Micro Deep Security™ Virtual Appliance(以下、DSVA)」を活用した新たなセキュリティ対策である。具体的には、ネットワーク仮想化プラットフォームである「VMware NSX」による「マイクロセグメンテーション」という仕組みの導入を決めた。

マイクロセグメンテーションとは、マルウェアの侵入を防止することを目指した既存の対策とは異なり、マルウェアに侵入を許してしまった後の被害拡大を抑止するための対策である。「侵入を完全に防ぐのは難しくなってきている。したがって、その被害を最小限に抑えるという考え方は非常に現実的で納得感がありました」と同院の上阪 友基氏は言う。

ソリューション

VMware NSXを利用すれば、スイッチやファイアウォールといったネットワーク機器を仮想化してソフトウェア制御できるようになる。この特性を活かし、仮想マシン1台ごとに仮想ファイアウォールを設置。仮想マシン単位という、最も小さなセグメントで「分散ファイアウォール」を実現するのがマイクロセグメンテーションである。

その上で仮想化基盤にインストールされているDSVAと連携させれば、マルウェアが検知された仮想マシンをネットワークから隔離し、通信を遮断。マルウェアの駆除が終われば復旧させるといった運用をポリシー設定によって完全に自動化できる。迅速かつ的確な一次対応によって、被害の拡大を防ぐことができるのである。

同院は、この仕組みを、部門システムやメンテナンス用端末として利用している診療系システムの仮想マシン群に適用。「例えば、メンテナンス用端末を通じて外部からマルウェアが持ち込まれた場合も被害を最小限に抑えることができます」(上阪氏)。

また、同院は、別の用途でもDSVAを利用している。先に述べた診療系システム用のVDIだ。 VDIのセキュリティ対策には、考慮しなければならない点がある。物理サーバに複数の仮想PCが集約されるVDIにエージェント型のウイルス対策ソフトを適用すると、パターンファイルの更新やウイルススキャンの際に、一気にサーバに対する負荷が高まり、レスポンスが低下してしまうことがある。

それに対しDSVAは、エージェントレスの対策が可能。VDIのパフォーマンスを劣化させることなく安全性を確保できるのである。

福井県済生会病院のシステム構成イメージ

導入効果

このように同院は、各システムに対して、それぞれ最適なセキュリティ対策を施し、利便性と合理性、そして、安全性の両立を高いレベルで実現した。
「脅威とユーザのシステムの状況を考慮して、多様なシステムの特性に合わせた幅広い対策を提供しているトレンドマイクロのおかげです。また、VMwareをはじめ、ほかのベンダーとも密接に協業しながら、様々な仕組みの実現に貢献している点には、今後、我々がどのようなシステムを構築しても、トレンドマイクロがしっかり守ってくれるという安心感があります」と塗茂氏は述べる。

今後の展望

今後も福井県済生会病院は、利便性と合理性、安全性の両立を念頭に、セキュリティ対策の強化に継続的に取り組んでいく考えだ。
例えば、数年内に予定されている院内LANの更改では、SDNの導入を検討。「このSDNとトレンドマイクロ製品を連携させれば、現在、ハイパーバイザー上でしか実現していない自動隔離、自動復旧の仕組みを院内全体で実現できるようになると期待しています」(上阪氏)。このような同院の取り組みは、多くの医療機関にとって大いに参考になるはずだ。

※ 記載内容は2016年6月現在のものです。内容は予告なく変更される場合があります。