- 導入事例
プロセス制御を見える化し
ブラックボックス任せの処理を回避
医療業
社会医療法人財団慈泉会
相澤病院 様
規模:病床約460床

相澤病院では、医療情報システム全般の設計と構築に対して主体的に関わる形でシステム導入を推進している。増大するランサムウェアなどの脅威への対策において、「システムに必要となる最小限のサービスやプロセスに対して特定の挙動のみを許可し、それ以外はすべてブロックし動作を認めない」というコンセプトの分かりやすさを評価し、「AppGuard」を選択した。
- リスクパターンの変化を受けて次なる対策を模索
-
長野県松本市に位置する相澤病院は、一世紀以上にわたる地域への医療提供とともに病院改革を進め、情報システムの活用においても先進的な取り組みを行ってきた。1999年のオーダリングシステム導入以降、電子カルテや医療系部門システム、情報系システム、セキュリティ、ネットワークなどの範囲を情報システム部が担い、システムの設計から導入、運用サポートを医療機関主導で対応している。
「ベンダーに『丸投げ』する方法でもシステム導入は実現しますが、システムの最終責任は我々にあります。構成を理解しシステムの健全性や整合性など、システム全体への影響を評価できる体制を構築しなければ、情報インフラを安定的に提供する目的だけでなく、サイバー攻撃などの脅威に対しても大きなリスクを抱えることになります。
そのため、ユーザーサイドに立ちながら、ベンダーと技術面でも対等に話ができる体制を整えてきました」(慈泉会本部 医療情報システム部 課長 小日向隆行氏)
システム導入においては、過去のインシデントも踏まえ、OS設定やシステム構成まで踏み込んだ交渉をベンダーと行う一方で、「良質な医療を提供するために新たなシステムを導入したい」といった現場の意向を尊重しつつ、「セキュリティ的にどこまでの自由度を許すのか」のラインを探り、バランスを取りながら対応している。
同院ではリスクベースのアプローチに基づき、サーバのアップデートや適切な設定・ポリシーによる堅牢化、エンドポイントセキュリティ製品の導入といったセキュリティ対策を実施してきたが、国内の医療機関で相次いで大規模なセキュリティインシデントが発生したことを受け、一層の対策強化が必要だと判断していた。「100%の防御は不可能であると認識しつつも、絶えず変化するリスクに対し、最適な対策の組み合わせを模索しています。『何がベストなのか?』という問いを胸に、日々考えています。」(小日向氏)
- わかりやすく、効果が見えやすい点がAppGurd採用のポイントに
-
相澤病院は当初、EDRに代表される検出型のエンドポイントセキュリティではなく、異なるアプローチでの検討を進めていた。「EDRの運用には専門的な知識とスキルが求められ、EDRが適切に動作しているように見えても、実際に脅威を検知・対処できているかを評価するのは難しいと考えていました。」(小日向氏)
そこで採用することにしたのがAppGuardだった。
「EDRや次世代アンチウイルスの検出ロジックはブラックボックスであり、検出動作の内容が把握できず、我々の意図した動きをさせることが難しい場合もありました。AppGuardでは我々の意図したとおりに挙動を制御できるため、『不要なものはすべてブロックしている』ことがわかりやすく、効果が見えやすい点はメリットだと感じています。また、近年、正規のユーザー権限を利用した悪意のあるアクセスへの対策も求められます。システムの正規ユーザーであっても許可されたプロセス以外はブロックする挙動は、それらに対しても効果があると判断しました」(小日向氏)
- AppGuardの導入を通じて、「最小構成での挙動」を明確化
-
同院では、攻撃対象となるリスクが高いシステムから優先的にAppGuardを導入する選択をしている。過去のセキュリティインシデントからも最優先で対応すべきと判断し、Active Directoryサーバ、および基幹システムとなる電子カルテシステムへの導入を先行。これらのシステムで期待レベルまでのチューニングができたことを確認し、PACSや診療書類システムなどへ段階的に導入している。
「導入時にはAppGuard特有の設定名称に戸惑うこともありましたが、手順書を確認しながらポリシー設定を進めていきました。マニュアルの提供だけでなく、時間をかけて導入支援を行っていただき、無事稼働に至りました」(同情報システム部の村山一樹氏)
一般にシステムベンダー側は、導入時やトラブル対応に利用するツールやメンテナンス環境を含めて必要最小構成と定義することが珍しくない。AppGuard導入に当たっては、そうしたツール環境も含めて要否を判断し、「通常動作における最小構成」となるようポリシーを絞り込んでいった。導入過程で、システムごとに最小限の許可プロセスを把握し、メーカーと共有できた点も改善点だとする。
「事前にディスカバリーモードでログを採取し、許可すべきプロセスの挙動を十分に把握・検証した上で本番運用に移行しました。導入支援事業者のサポートもあり、AppGuard導入後も正規のサービスが停止するトラブルは発生していません」と小日向氏は語る。
「プロセスの設定内容を私たちが把握しているため、新たな脅威が出現しても、その影響の有無を判断できます。仮に侵入を許したとしても、あらかじめ許可したプロセス以外の動作をブロックできることで、最終的にデータ破壊や情報漏洩につながる行為を防ぐことができると考えています。」(小日向氏)
さらに、EDRとの比較では、「EDRの場合、新しい検知パターンが追加されますが、それが適切なものか判断ができません」と付け加えた。
- 医療DXの新たなチャレンジを可能にするリスクコントロール
-
「許可したものだけを動かす」というシンプルで効果的なコンセプトを持つAppGuardによって、基幹サーバ群の保護を実現した相澤病院。ただ、より多様な利用パターンを持つクライアント環境に対してはNDR製品も適用している。「昨今のセキュリティ情勢を見極め、新しい攻撃手法にも対応できるよう複数の手段を組み合わせることで、セキュリティ環境を維持していく必要があると考えています。」(小日向氏)
良質な医療提供に必須のインフラとなる医療情報システムを安定稼働させるとともに、医療DXの実現に向けて全体戦略と照らし合わせた新たな挑戦を進める体制を目指している。「医療DXの導入には、セキュリティの担保が重要です。リスクを管理しつつ新たなシステムを導入していく上で、AppGuardが果たす役割は大きいと感じています。」(小日向氏)