- 導入事例
プロセス制御を見える化し
ブラックボックス任せの処理を回避
医療業
社会医療法人財団慈泉会
相澤病院 様
規模:病床約460床
相澤病院では、医療情報システム全般の設計と構築に対して主体的に関わる形でシステム導入を推進している。増大するランサムウェアなどの脅威への対策において、「システムに必要となる最小限のサービスやプロセスに対して特定の挙動のみを許可し、それ以外はすべてブロックし動作を認めない」というコンセプトの分かりやすさを評価し、「AppGuard」を選択した。
- リスクパターンの変化を受けて次なる対策を模索
-
長野県松本市に位置する相澤病院は、一世紀以上にわたる地域への医療提供とともに病院改革を進め、情報システムの活用においても先進的な取り組みを行ってきた。1999年のオーダリングシステム導入以降、電子カルテや医療系部門システム、情報系システム、セキュリティ、ネットワークなどの範囲を情報システム部が担い、システムの設計から導入、運用サポートを医療機関主導で対応している。
「ベンダーに『丸投げ』する方法でもシステム導入は実現します。ただ、構成を理解しシステムの健全性や整合性など、システム全体への影響を評価できる体制を構築しなければ、情報インフラを安定的に提供する目的だけでなく、サイバー攻撃などの脅威に対しても内在的に大きなリスクを抱えることになります。ユーザーサイドに立ちつつ、ベンダーと技術面でも対等に交渉できるメンバーを採用し体制を整えてきました」(相澤病院情報システム部部長、米山弘氏)
システム導入においては、過去のインシデントも踏まえ、OS設定やシステム構成まで踏み込んだ交渉をベンダーと行う一方で、「良質な医療を提供するために新たなシステムを導入したい」といった現場の意向を尊重しつつ、「セキュリティ的にどこまでの自由度を許すのか」のラインを探り、バランスを取りながら対応している。
同院ではリスクベースのアプローチに基づき、サーバのアップデートや適切な設定・ポリシーによる堅牢化、エンドポイントセキュリティ製品の導入といったセキュリティ対策を実施してきたが、国内の医療機関で相次いで大規模なセキュリティインシデントが発生したことを受け、一層の対策強化が必要だと判断していた。「世の中のリスクのパターンが変化する中で、次の段階を模索しなければならないと考えました」(米山氏)
- わかりやすく、効果が見えやすい点がAppGurd採用のポイントに
-
相澤病院は当初、EDRに代表される検出型のエンドポイントセキュリティではなく、異なるアプローチでの検討を進めていた。「EDRは誤検知を含めた大量の通知に対応が必要であり、運用が複雑になりがちです。また、通知されない処理でも本当に許容してよい挙動であるかが不明確です。それらしく動作していても、本来の目的が達成できているかの評価が非常に難しいと考えました」(米山氏)
そこで採用することにしたのがAppGuardだった。
「EDRや次世代アンチウイルスの検出ロジックはブラックボックスであり、検出動作の内容が把握できず、我々の意図した動きをさせることが難しい場合もありました。AppGuardでは我々の意図したとおりに挙動を制御できるため、『不要なものはすべてブロックしている』ことがわかりやすく、効果が見えやすい点はメリットだと感じています。また、近年、正規のユーザー権限を利用した悪意のあるアクセスへの対策も求められます。システムの正規ユーザーであっても許可されたプロセス以外はブロックする挙動は、それらに対しても効果があると判断しました」(同情報システム部、小日向隆行氏)
- AppGuardの導入を通じて、「最小構成での挙動」を明確化
-
同院では、攻撃対象となるリスクが高いシステムから優先的にAppGuardを導入する選択をしている。過去のセキュリティインシデントからも最優先で対応すべきと判断し、Active Directoryサーバ、および基幹システムとなる電子カルテシステムへの導入を先行。これらのシステムで期待レベルまでのチューニングができたことを確認し、PACSや診療書類システムなどへ段階的に導入している。
「導入時にはAppGuard特有の設定名称に戸惑うこともありましたが、手順書を確認しながらポリシー設定を進めていきました。マニュアルの提供だけでなく、時間をかけて導入支援を行っていただき、無事稼働に至りました」(同情報システム部の村山一樹氏)
一般にシステムベンダー側は、導入時やトラブル対応に利用するツールやメンテナンス環境を含めて必要最小構成と定義することが珍しくない。AppGuard導入に当たっては、そうしたツール環境も含めて要否を判断し、「通常動作における最小構成」となるようポリシーを絞り込んでいった。導入過程で、システムごとに最小限の許可プロセスを把握し、メーカーと共有できた点も改善点だとする。
「事前にディスカバリーモードでログを検証し、許可すべきプロセス挙動を十分に把握してから本番運用に移行しました。そのため、AppGuardを導入しても正規のサービスが止まるトラブルは発生していません」(米山氏)
「仮に侵入を許したとしても、あらかじめ許可したプロセス以外の動作をブロックできることで、最終的にデータ破壊や情報漏洩につながる操作を防ぐことができると考えています。」(小日向氏)
「最小のプロセスしか許可していないからこそ、新たな攻撃手法が出てきたとしても、ブロックしている範囲であれば実質の影響がないことを判断できるようになります。EDRの場合は、新たなリスクを正しく検出できるか確認する作業が必要になるところです」(米山氏)
- 医療DXの新たなチャレンジを可能にするリスクコントロール
-
「許可したものだけを動かす」というシンプルで効果的なコンセプトを持つAppGuardによって、基幹サーバ群の保護を実現した相澤病院。ただ、より多様な利用パターンを持つクライアント環境に対してはNDR製品も適用している。「リスクを見極めながら複数の手段を組み合わせて対策することが、健全なセキュリティ環境を構築する方法だと考えています」(米山氏)
良質な医療提供に必須のインフラとなる医療情報システムを安定稼働させるとともに、医療DXの実現に向けて全体戦略と照らし合わせた新たな挑戦を進める体制を目指している。「積極的にITを導入すると同時に、セキュリティを担保しなければなりません。リスクを管理しながら新たな環境を効果的に取り込んでいくためにも、AppGuardが貢献してくれると期待しています」(米山氏)