福井大学医学部附属病院

脅威情報を製品間で共有し“免疫”を自動で獲得する仕組みを実現
ゼロデイ攻撃への一次対応を強化する

概要

お客さまの課題

標的型攻撃など未知の手法を用いた攻撃が増加。シグネチャ型を中心とした既存の対策だけでは対応が難しくなっていた

解決策と効果

脅威と判定した情報を自動的に各セキュリティ製品が共有。ゼロデイ攻撃への迅速な一次対応によって、被害の拡大を抑止できる

"医療機関では、そもそも人手が足りないため高度な対策まで手が回らないケースが多くあります。今回の仕組みは、対策の改善サイクルを自動的に回していける点を高く評価しました"

福井大学医学部附属病院
医療情報部 総合情報基盤センター 副部長
副センター長 准教授
山下 芳範 氏

導入の背景

県内唯一の特定機能病院として高度な医療サービスを提供するほか、先端医療の研究・開発にも取り組む福井大学医学部附属病院(以下、福井大学病院)。地域密着型の病院として、周辺の病院・クリニックから紹介患者を引き受けるなどの病診連携にも力を入れている。

また、同院は仮想化技術を用いてプライベートクラウドを構築し、そこで電子カルテをはじめとする病院情報システム(HIS)を運用するなど、先進のICT活用にも注力している。「業務の利便性向上およびコスト削減が目的です。クライアント端末もプライベートクラウドを活用して、シンクライアントで業務を行う仕組みを構築しています」と同院の山下 芳範氏は述べる。

もちろん、セキュリティ対策にも十分な投資を行ってきた。
具体的には、メールやWebフィルタリングなどの「入口・出口対策」、クライアントやサーバを対象としたエンドポイント・セキュリティ、そして、ネットワーク内の不正なふるまいを監視する「内部対策」を実現するトレンドマイクロ製品を活用し、全方位的な対策を固めてきたのである。

お客さまの課題

しかし近年、攻撃の手法が大きく変化しており、既存の対策では十分ではなくなっていたという。「操作する人の思い込みやミスに付け込み、添付ファイルやリンク先を開かせてマルウェアを侵入させる標的型メール攻撃などが増加。これらは、パターンファイルに反映されていない状態の『未知』の手口で攻撃してくることが多く、既存のシグネチャ型製品では防ぐのが困難になっていました」(山下氏)。被害を防ぐためには、常にネットワークを監視し続けなければならず、担当者の負荷も日に日に高まっていたという。

また、福井大学病院のICT環境ならではのリスクもあった。
同院では、1台のシンクライアントでHISとインターネットにつながった情報系システムの両方にアクセスできる構成をとっている。そのため、インターネット経由の脅威がHISにまで侵入してしまう可能性がゼロではない。検査機器などの医療機器も電子カルテを中心にネットワーク接続されている現在、万一、HISへのマルウェアの侵入を許してしまうと、医療サービスが停止してしまう恐れもある。医療機関として、それだけは絶対に避けなければならない。

「もちろん、ネットワークセグメントを分離するなど、必要な対策は打ってありますが、そもそもセキュリティ対策とは常に最悪の事態を想定して行うもの。侵入されてしまった際に、被害を最小化するための仕組みを早急に確立しなければと考えていました」と山下氏は語る。

選定理由

検討の結果、福井大学病院が取り入れたのが、「Connected Threat Defense(以下、CTD)」という製品間連携ソリューションコンセプトである。

これは、入口・出口、内部対策を行う複数のトレンドマイクロ製品で検知した未知の脅威をカスタムサンドボックスにて解析。解析の結果、カスタムサンドボックスで生成されたファイルやIPアドレス、URLなどの脅威情報を、統合管理製品であるTrend Micro Control Manager™を経由して自動的に各セキュリティ製品に展開※、ブロックや隔離を行うという仕組みだ。これにより、万一システム内部への脅威の侵入を許してしまった場合でも、被害を最小限に食い止めることができる。

「未知の脅威に対する備えになるうえ、これまで人手で行う必要があった一次対応を自動化でき、迅速な対応と担当者の負荷軽減を両立できます。すでに導入済みの製品を有効活用できることも魅力でした」と山下氏は採用理由を述べる。

※ 2016年6月現在、ウイルスバスターコーポレートエディションのみ対応。他製品については順次対応予定。

ソリューション

同院は、既存の環境にカスタムサンドボックス製品「Deep Discovery™ Analyzer」を追加導入してCTDを具現化。手始めに、重要データが最も多く存在するHIS領域で運用を開始している。

福井大学医学部附属病院におけるConnected Threat Defense実装イメージ

導入効果

これまでのところ、実害に至るようなクリティカルな攻撃を受けた形跡はない。「比較的安全な領域から適用したため、結果は想定通りですが、今後、適用範囲を広げていけばCTDが大いに真価を発揮するでしょう。人体がウイルスに感染した後、自ら抵抗力を高めるように、この仕組みは情報システムに『免疫システム』をもたらすものだと感じています」(山下氏)。運用が本格化した後には、攻撃の状況などをまとめたレポートを病院内に公開することで、標的型攻撃に対する職員の危機意識向上にも役立てる予定だという。

今後の展望

さらに福井大学病院は、CTDとは別の観点からもセキュリティ強化施策を実施している。それが、Software Defined Network(以下、SDN)によるものだ。

この仕組みの下では、ネットワーク監視を行う「Deep Discovery™ Inspector Virtual Appliance」のイベントログをSDNコントローラが読み取り、万一不審な通信が見つかった場合は、事前に設定したポリシーに基づき、関連するネットワークセグメントを隔離・遮断する。従来は同様のことを独自開発のシステムを使って手動で行っていたが、SDNを活用することで、こちらも迅速な対応と運用負荷の軽減を両立している。

無数の重要情報を扱う医療機関では、わずかな情報漏えいも許されない。加えて現在は、機器同士がデータをやりとりするIoTも広がっており、同病院のように二重、三重の対策を打つことは、非常に効果的だといえる。「CTDに対応した製品は、今後も増えると聞いています。一層効果的な対策の実現に向け、トレンドマイクロにはさらなる提案を期待しています」と山下氏は最後に語った。

※ 記載内容は2016年6月現在のものです。内容は予告なく変更される場合があります。