長崎大学病院

気付くことすら困難な脅威を可視化し
SIEMやファイアウォールと連携して防御
自前運用でグレーゾーンの判断精度を高める

概要

お客さまの課題

悪質化する脅威への対応は個々に行えていたが、脅威の全体を把握できなかったため、侵入を前提とした対策に不安があった

解決策と効果

ネットワーク内部を可視化したことで、脅威全体を迅速に把握。原因となるデバイスの特定と対処もすぐに行なえ、安全・安心につながっている

"医療サービスの提供や医師の研究活動においてインターネットの活用は不可欠。継続的なセキュリティ強化は、我々にとっての重要なミッションです"

長崎大学大学院 医歯薬学総合研究科
医療情報分野 准教授
長崎大学病院
病院長補佐
消化器内科
医療情報部 副部長
メディカルサポートセンター(MSC)センター長
松本 武浩 氏

"DDIは我々のセキュリティ運用の要。DDIがなければ気付くことすらできませんでした。見えなかったものが見えるようになった"

長崎大学病院
医療情報部 主査
和田 貴寿 氏

"セキュリティ運用の難しいところは、いかにグレーなものに対応するか。内部の者でなければ、DDIが検知したふるまいが不正かどうかを判断するのは困難だった"

長崎大学病院
医療情報部
大伴 哲治 氏

導入の背景

健全な経営、および病院マネジメントのもと、最高水準の医療の提供と人間性豊かな優れた医療人の育成に努め、地域住民の健康増進、新たな医療の創造と発展に寄与している長崎大学病院。同院の健全な経営状況や医療機関としての機能性は、各方面から高い評価を受けており、例えば厚生労働省の中央社会保険医療協議会(DPC評価分科会)の機能評価係数Ⅱにおいては、大学病院(特定機能病院)中、全国1 位の座を2018年、2019年と維持している。

お客さまの課題

今日の医療機関に求められる情報セキュリティについて、同院はしっかりとマネジメントを行ってきた。電子カルテを中心とする医療情報ネットワークとインターネットにつながる情報系ネットワークは物理的に分離し、ゲートウェイとエンドポイントを中心にセキュリティ対策を実施しているほか、データの出力については、申請方式の厳格なルールを徹底させている。また、ITの適切な利用を促すために2名の教育担当者を配備して、医師や職員の受講を義務化。受講を終えたユーザにのみ、各種システムにアクセス可能なID・パスワードを発行するという管理も行っている。

「ユーザの無自覚な操作がセキュリティホールとなり得るという考えに立ち、システムと人の両面から対策を行っています」と長崎大学病院の松本 武浩氏は紹介する。

ネットワークに接続するデバイスについては、MACアドレスの登録申請さえ行えば、PC、スマートフォン、タブレットなど、何台でも持ち込みを許可するという自由度の高さも同院のIT環境の特徴の1 つだが、それも強固な安全性を実現していればこそといえる。

このように積極的にセキュリティ強化に取り組んできた同院が、新たな取り組みに着手した。ネットワーク内部の対策だ。

「公的機関や民間企業を問わず、様々な組織が被害に遭っていることを考えると、セキュリティ対策も継続的な強化が必要。例えば、ゲートウェイやエンドポイントの対策だけでは、仮に脅威に侵入を許してしまうと、その後は『お手上げ』となってしまいかねません」と松本氏は語る。

選定理由

セキュリティのさらなる強化を目指す同院が導入したのがトレンドマイクロの「Deep Discovery™ Inspector(以下、DDI)」である。

長崎大学大学院における、SIEM、ファイアウォール連携した脅威検知から対処イメージ

DDIは、ネットワーク内部のパケットを可視化し、メールに書かれた疑わしいURL、怪しい添付ファイルを分析し攻撃の兆候を把握。脅威が侵入してしまった場合にも、感染したデバイスからC&Cサーバとの通信や、内部ネットワークを介した感染を検知し、迅速かつ的確な対処を実現するためのソリューションである。

「より悪質化している脅威にも対応できる上、将来的には、我々がゲートウェイに設置しているファイアウォールと連携させ、さらに防御力を高めることも可能になる点を評価しました」と同院の和田 貴寿氏は説明する。

ソリューション

DDIは、ネットワーク上のふるまいを監視することで、パターンマッチングなどでは対応できない未知の脅威もサンドボックスやネットワークの振る舞い解析、Webレピュテーションなどの相関分析により検出し、標的型攻撃やゼロデイ攻撃への迅速な対処を可能にする。

また、DDIが未知の脅威を検知した際に、その脅威に対応したカスタムパターンファイルを生成し、ゲートウェイのセキュリティ製品やエンドポイントのウイルスバスター コーポレートエディションに配信し、自動的に脅威への対応力強化を図る「Connected Threat Defense™」も実現できる。さらに、SIEMやファイアウォールなど多数の他社の製品とも連携することができる。

導入効果

DDI導入後、同院は可視化した情報をどのようにセキュリティ運用に活かすかについて検討を重ね、最適な仕組みとプロセスを構築。外部に委ねるのではなく、自身で運用を行っている。

具体的には、ファイアウォールやDDIの出力するログ、そして、MACアドレスをはじめとするデバイス情報をSIEM(Security Information and Event Management)ソリューションのSplunk上で相関分析。攻撃の兆候を発見した際には、原因となっているデバイスをすぐに特定し、何が起こっているのかを把握。不正と判断したものは、ファイアウォールで通信を遮断するといった対処を行なっている。

「セキュリティ運用の難しいところは、いかにグレーなものに対応するか。例えば医師は、研究や論文作成のために様々なサイトにアクセスしたり、外部の団体や研究者とやりとりしたりします。ですから、内部の者でなければ、DDIが検知したふるまいが不正かどうかを判断するのは困難。我々は毎日、DDIの管理画面をチェックし、脅威の重大度が『高』となっているもの、あるいは重大度は高くなくとも、同じ現象が異常な頻度で発生しているなど、対応が必要と判断した場合は、利用者に連絡し、利用状況を確認して原因を究明。適切に対処するようにしています」と大伴 哲治氏は言う。

このような運用によって、同院は導入初年度には、約650件の脅威に対応した。対処状況は長崎大学のセキュリティ担当者とも共有し、大学全体での防御力の強化につなげている。「いずれも実害のあるものではありませんでしたが、DDIがなければ気付くことすらできませんでした。見えなかったものが見えるようになった。これがDDI導入の最大の成果です」と松本氏は強調する。

今後の展望

今後も長崎大学病院は、継続的なセキュリティ強化に取り組み、医療の安全を担保していく。「来年度には、ネットワークの更新を予定しており、ネットワーク仮想化技術の導入を検討しています。論理的な制御を活かせば、必要な対策やパッチ適用が行われていないデバイスは自動的に利用を制限するなど、より高度な対策も可能になるはずです」と松本氏は構想を語る。

日本を代表する大学病院の1つとして、同院の取り組みが医療業界に与える影響は決して小さくない。実際、DDIを活用して同院が整備した仕組み、および自ら運用することを想定して構築したプロセスは、関連学会でも発表され、大きな注目を集めた。何を導入して、どう運用するのか──。同院が次に示す方向性もまた、大きな注目を集めることだろう。

  • 製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
  • 記載内容は2020年1月現在のものです。内容は予告なく変更される場合があります。