旭川医科大学病院

クローズド環境こそ内部対策が必要
閉域網の安全を過信せず手間なく
監視する仕組みと体制を構築

概要

お客さまの課題

重要情報を扱っているにもかかわらず、医療情報ネットワークはクローズドかつ専用端末であることへの過信もあり、職員のIT知識、セキュリティ意識があまり高くない

解決策と効果

ネットワーク基盤の更改を機にネットワーク内部を監視するセンサーを導入。見えなかったサイバー攻撃やセキュリティの状況を限られた人員で把握可能になった

"ネット接続できるオープン環境は出入り口で最低限の危険は察知できるが、クローズド環境は何が起きているか全くわからない。完全なクローズドは存在せず、診療や研究に使うデータの活用を止めずにセキュリティ上のリスクを把握する仕組みが必要でした"

"医療のクローズド環境こそ内部対策をやるべきです。情報の活用を推し進めると同時に院内で働く職員が安心して業務に取り組む環境を整えるのが私たちの仕事です"

国立大学法人 旭川医科大学
旭川医科大学病院
経営企画部 医療情報部門
准教授/副部長
谷 祐児 氏

背景・組織

高度かつ多様な医療機能を持つ特定機能病院として、北海道の医療・福祉の向上に大きな貢献を果たしている旭川医科大学病院。道内の6つの病院と連携し、クラウド上で共有した患者画像を基に、同院の専門医が診断や治療方針のアドバイス、同院への救急搬送の必要性や搬送後の治療方針の策定などにおいて「クラウド医療」で大きな成果を上げていることでも知られている。

「医療情報を病院経営にいかに活かすかがIT活用の大きなテーマ。その実現に向けて様々な取り組みを進めています」と旭川医科大学病院の谷 祐児氏は語る。

課題

積極的なIT活用の裏側には大きな2つの課題があった。

まず運用管理である。病床数は約600、職員数は約1,400人という同院の規模に対して、ITインフラの運用管理を担当しているのはわずか4人。そのため、運用の効率化は常に大きな課題となっていた。

もう1つの課題はセキュリティだ。重大なインシデントの発生、極めて危険度の高い攻撃を受けたという事実はないものの、既存の対策では、昨今の悪質化した脅威に対応できないのではという不安があった。

「医療業界はIT化が遅れた分、職員たちのセキュリティ意識があまり高くない。クローズドな環境だから、専用端末だから大丈夫と安易に考えていると、脅威の侵入を許してしまうことも考えられます。例えば、USBメモリは貸与したもの以外は使えないようにしていますが、そのUSBメモリは個人のPCには挿すことができる。とはいえ、学会発表や論文作成のためのデータ移動を完全に禁止するのは本末転倒。禁止することはできません。また、機器のメンテナンス用にリモートアクセスのための通信ポートが開けられており、実は完全にクローズドな環境でもない。これらを踏まえてセキュリティを強化し、誰もが安心して業務を行える環境を実現すべきと考えています」と谷氏は言う。

施策と効果

そこで、旭川医科大学病院が検討したのがインシデント発生時の一次対処を自動化すること、サイバー攻撃の実態を把握することだ。「人員が限られていることを考えると自動化は非常に効果的な対策です。人が駆けつけるよりもはるかに迅速に対処を行えるし、感染端末を即座に隔離できれば、被害を最小限に抑えることも可能です。また、これまで何も起こっていないとしても、実際はどんな攻撃を受けているかはわかっておらず、結果的に大丈夫なだけ。何も起こっていないことを、きちんと何もないと言えることが重要です」と谷氏は説明する。

そのために複数の製品を比較し、同院が最終的に導入したのがトレンドマイクロのネットワーク監視センサー「Deep Discovery™ Inspector(以下、DDI)」である。DDIが実現するのは内部対策。ネットワーク内部の通信を監視し、不正な通信や不審なふるまいなどを検知する。

「医療機関のセキュリティは、医療情報の情報漏えいを防ぐことが目的。したがって、ゲートウェイから出ていく通信は監視していますが、内部で何が起こっているのかはわからなかった。DDIであれば、それを可視化できます。加えて、当院はエンドポイントに『ウイルスバスター™ コーポレートエディション(以下、Corp.)』を長年利用しており、Corp.とDDIを組み合わせれば感染端末をネットワークから自動的に隔離する仕組みを実装できることを評価しました」と谷氏は説明する。DDIが医療機関も含め、広範な分野で豊富な実績を持ち、効果が実証されていることも採用を後押しした。

導入後の現在、DDI は医療情報システム(以下、HIS)に接続された約1,350台の端末の通信を監視。不正な通信などを検知した際には、担当者にアラートのメールが届くようになっている。センサーによるログを分析するトレンドマイクロのサービスに加え、基盤の提案から導入支援を行ったアライドテレシスの運用管理サービスを組み合わせた運用体制を敷いた。これにより、職員の負担を最小にしながら24時間365日の監視体制を実現している。

「アライドテレシスとは、2週間ごとの報告会で、どれくらい、どんな攻撃を受けたかなどを共有しています。当初の目的であり、監督官庁である厚生労働省や文部科学省などからも要請されている、何も起こっていないことをきちんと明示できる環境が整いました」と谷氏は強調する。

苦労

可視化という点で確かな成果につながっているDDIの導入だが、もう1つの目的だった自動化においては、乗り越えなければならないハードルがあった。

自動化の仕組みを実装するには、専用端末のCorp.をバージョンアップしなければならないのだが、調達の関係上、バージョンアップは同院だけで行うことができず、端末ベンダの協力が必要不可欠だ。

自動化を必須と考える谷氏は、電子カルテをはじめとするHISのリニューアルなどのタイミングでバージョンアップを計画し、セキュリティ自動化の仕組みの実装を目指している。

今後の展望

DDIによる内部対策によってセキュリティを強化した旭川医科大学病院だが、それだけで十分と考えているわけではない。システム、人の両面からアプローチを継続し、さらに安全な環境を目指していく構えだ。

加えて、IT活用の最も大きなテーマである医療情報の活用を加速するためにも、外部の機関などと安全に情報を共有できる仕組みを整え、より高度な地域医療連携などに取り組みたいと考えている。

「患者さんが安心して治療に専念するには、セキュリティを心配して、最善の手段を選択できないということにならないよう、医師をはじめ、すべての職員が何の不安もなく、安心して日々の業務を行える必要があります」と谷氏は言う。

患者、職員にとって安全・安心な環境を実現することで、同院はさらに質の高い医療サービスを実現しようとしているのである。

旭川医科大学病院セキュリティ対策イメージ

  • 記載内容は2018年9月現在のものです。内容は予告なく変更される場合があります。