CASE STUDY 導入事例

先進的なIT化を進める松本協立病院のWebセキュリティをMcAfee Web Gatewayで強化。SSLフィルタリングや既知/未知のウイルスチェックを高度に実現し将来の医療IoT化に向けたIPv6にも対応

WebセキュリティアプライアンスMcAfee Web Gateway 導入事例

お客様

社会医療法人 中信勤労者医療協会 松本協立病院様

カテゴリ

  • セキュリティ

関連サービス/製品

導入事例:社会医療法人 中信勤労者医療協会 松本協立病院様

病床数199 床の規模ながら松本市近郊の一次・二次医療から三次医療の一部を担い、急性期医療も提供する社会医療法人 中信勤労者医療協会 松本協立病院(以下、松本協立病院)。2001年には早くも電子カルテを導入するなど、能動的にIT化を進めることでも知られる。

また、同病院では一般事務系ネットワークと医療情報系ネットワークを分離せず、医師が診療現場においてもWeb を閲覧できるようにしていることも特徴的だ。そのため、各部門でウイルス感染などのインシデントを回避するためのセキュリティ教育が行われているほか、最新のセキュリティ製品の導入も積極的に行っている。そうした中で問題となったのが、SSL の暗号化通信で存在を隠蔽するウイルスの急増と情報漏洩への懸念。そして、将来医療現場にもI oT化が進むことによるIPv6 対応への準備だった。しかし、既存の脅威ゲートウェイではその両方が実現できず、新たにWeb ゲートウェイセキュリティ製品を検討することとなった。

そこで、さまざまなソリューションを検討した上で採用されたのがマカフィーのWeb セキュリティアプライアンス「McAfee Web Gateway」だった。SSLフィルタリング機能とI Pv6 対応が可能な上に、業界最高クラスの脅威検出率という実績にも注目。また、テクマトリックスの製品技術担当者によるレベルの高いコンフィグレーション作業も高く評価された。

今回は、松本協立病院の情報システム全般を統括管理し、歴代の導入プロジェクトをリードしてきた白川氏に、製品選定の経緯と期待する効果、そしてセキュリティ製品におけるコンフィグレーションの重要性などについてお話しを伺った。

「テクマトリックスが行ったコンフィグレーションは非常に完成度が高く、 効果的な導入となりました」

国内病院の中でも屈指の早さで電子カルテ化を進めた松本協立病院

松本協立病院は、すべての人々が必要な医療を平等に受けられることを目的に立ち上げられた中信勤労者医療協会が1973 年に勤労者のために作った松本診療所をルーツとし、40年以上も地域に育まれながら運営してきた。お金のない患者であっても分け隔てなく質の高い医療を受けられるよう、「いつでも、どこでも、だれもが、安心してかかれる医療」を創立以来のポリシーとして守り続け、今日まで差額ベッド代を取らない経営を伝統とするとともに、患者や利用者の立場に立った安全で安心、信頼される医療福祉を提供できるよう医療の質の向上とチーム医療の充実に向けた改善を続けている。

病床数は199 床と大規模病院ほど大きくはないが、標榜科目も総合診療科以下13 科目と充実しており、急性期医療にも対応。地域医療を担う中核病院として医療設備の充実と先端的なI T 投資を常に重視してきた。ホストコンピュータからオープン系システムへの変遷とともに、介護保険制度の開始に合せて2000 年にオーダリングシステム(電子伝票システム)が稼働し、2001年には早くも電子カルテシステムが運用を開始。2003 年にはテクマトリックスのサポートで医療画像システムも導入されるなど、IT化への取り組みは全国的にも注目されてきた。

能動的に新しい技術を取り入れる経営方針はシステム運用にも現れている。それについて、松本協立病院 システム課 課長の白川栄治氏は、統括管理者の立場から次のように語る。「他の病院では一般事務系と医療情報系ではネットワークを分離し、可能な限り機密情報の漏洩を予防するのが一般的ですが、当病院の場合は医師が診療現場でWeb を閲覧できるようにするため特に分離運用をしていません。そのため、各部門でI Tリーダーを選任し、ウイルス感染などのインシデントを回避するためのセキュリティ教育を含めたIT スキル全般の底上げを目指した組織作りが行われているほか、最新のセキュリティ製品の導入も積極的に行ってきました」

電子カルテ導入後の2003 年には、初めてマカフィーの統合セキュリティアプライアンス(旧McAfee WebShield シリーズ)を導入。当時猛威をふるったコンピュータウイルス「MSBlast」の感染も発生したが、侵入範囲は最小限度に抑えられ、被害発生もほぼ回避することができたという。そうした出来事もあり、その後は統合ライセンスに基づくエンドポイントセキュリティとゲートウェイの強化にも乗り出した。

医療現場にこそIPv6に対応した製品に統一することが必要

大きな転機となったのは2010 年頃のこと。主に2 つの課題が浮き彫りになった。1つはSSL のフィルタリング。当時、SSL による暗号化通信(HTTPS)が増加する中で、既存のゲートウェイではトラフィックの内容を管理者でもウイルス検査などのチェックができないことが大きな課題となっていた。暗号化されているためポリシーによるフィルターがかけられず、もし悪意あるコンテンツが流入しても状況を把握できないままSSL 通信そのものが情報漏洩の抜け道として使われる可能性があった。

そして、もう1つの課題はI Pv6 対応だった。今盛んに提唱されているIoT(Internet ofThings;各機器が直接インターネットにつながる状況)が医療現場でも行われるだろうと白川氏は当時から予期し、ゲートウェイも対応しておくことが必要だとの認識があったという。

「病院内にはさまざまな医療システムが存在し、IoT化が進むと患者一人当たりに体温や心拍数、血中酸素濃度など50 センサー程度が導入されるといわれています。それを使って監視するためには、センサーごとに監視する機器を導入することになり、莫大なコストがかかってしまいますが、センサーデータをインターネット先のクラウドサービス側に接続すればオンプレミスで機器を導入する必要はなく、解析もベンダー側で行ってもらえるようになります。そのため、今後導入するネットワーク製品はIPv4 のブロードキャストアドレスではなく、広大なアドレス空間を持つIPv6 に対応したものに統一しておくことが必要だと考えました」(白川氏)

SSLフィルタリングとIPv6に対応したMcAfee Web Gatewayを採用

そこで、既存のゲートウェイに代わるWeb セキュリティソリューションを検討することになった。WAF(Webアプリケーションファイアウォール)やUTM(統合脅威管理)製品などさまざま検討する中で、松本協立病院が選定したのは、マカフィーのWeb セキュリティアプライアンス「McAfee Web GatewayWG4500」(以下、MWG)だった。

MWG の採用決定には、課題だったSSLトラフィックを直接スキャンして暗号化で存在を隠す不正なコードとアプリケーションをブロックできることと、将来に向けたIPv6 に対応していることに加え、マカフィー独自のプロアクティブなマルウェア対策機能「GatewayAnti-Malware」(GAM)エンジンによる業界最高クラスの脅威検出率という実績も大きく影響した。GAM エンジンは、Web の脅威に対抗するために開発された強力な振る舞い検知エンジンで、Web の振る舞いも含めたシグネチャレスの意図解析で、既知/未知含めたウイルスのプロアクティブなチェックも可能になることが非常に有効だと白川氏は考えたという。

「MWG よりも高額な製品もあれば安い製品もありますが、定評のあるGAM エンジンを搭載し、この費用感でマルウェア検出・SSLインスペクション(SSL の複合化とサーバー証明書の確認)・認証などが統合された専用アプライアンスを導入できるのであれば非常にリーズナブルだと感じました」

中信勤労者医療協会 松本協立病院様 ネットワーク図

GTI・GAM・URLフィルターを有効にしてもパフォーマンスは維持

2016年2月にMWG の導入が決定し、構築作業が開始された。実際のインプリメンテーションにおいては、テクマトリックスの製品技術担当者が支援に駆け付け作業を行ったが、それについて白川氏は「特にセキュリティ製品はコンフィグレーションが重要で、技術スキルに大きく左右されますが、テクマトリックスの担当者は皮相的なものではなくシステム状況に応じた細かい設定まで行ってくれたので、大きなトラブルもなく予定通り導入が完了できました」と評している。

その後、5月に構築が完了し、MWG の本格運用がスタートした。運用後、病院内の誰かがWebサイトを閲覧中にバナー広告などをクリックしても、仕掛けられたJava スクリプト連動で呼び出すタイプのウイルスをGAM が感染前に検知できるようになり、管理者には毎日20 通ほどの報告メールが届くようになったという。広告系ウイルスが蔓延しているところに、MWG は広告のWeb ページにリダイレクトするふるまいから発見し、感染を未然に防止しているのでその効果は大きい。

「SSL のフィルタリングについてはしっかりと機能しているのは大変心強く感じます。ホワイトリストも必要な数だけ登録できる上に、アクセスログも見やすい。また、MWG のルールエンジンの処理の流れをトレースできるRuleTracing 機能により、クライアントからのリクエストやサーバーからのレスポンス等、MWGを経由する通信にどのルールが適用され、どのアクションが実行されたかをトレースすることができる上、どこで止まったのかも分かりやすいので、現状の可視化が大幅に改善されました」と白川氏は分析する。

また、松本協立病院ではMWG の主要機能をフルに活用していることもポイントだ。世界各地に配備した数百万台のセンサーを利用して、クラウドベースで脅威情報をリアルタイムで提供するサービス「McAfee Global ThreatIntelligence」(GTI)によるWebレピュテーションと、GAM によるアンチウイルス/マルウェア、URLフィルターの3 大機能を有効にし、HTTPS 利用率は30% を超えているが、SSLフィルタリングを利用していてもパフォーマンスへの影響は皆無で、全く問題なく運用できているという。

上から、「システム負荷」と「プロトコル毎のリクエスト数(HTTP とHTTPS)」を示すグラフ

上から、「システム負荷」と「プロトコル毎のリクエスト数(HTTP とHTTPS)」を示すグラフ

統合ユーザー認証を実現しランサムウェアなどの感染リスクを大幅に抑制

さらに白川氏は、MWG によって統合ユーザー認証が可能になったことも大きなメリットだという。「統合ユーザー認証は長年の課題でした。通常のユーザー認証の場合は、エンドポイント個々にID /パスワードを埋め込む必要がありますが、統合認証ならばActive Directory のグルーピングを前提とした一元的な運用ができるので非常に効率的です。実施にあたっては疑問がありましたが、きれいに機能しています」と満足げだ。システム特権があるDomainAdmins(ドメインの管理者グループ)のユーザーに関しては、マルウェア感染によるC&Cサーバーと通信することを防ぐために、インターネットへのアクセスを拒否する設定を行っているという。

MWGのアクセスログでユーザー名が表示され、誰がアクセスしているのかが可視化できるので、ランサムウェアなどの感染リスクを数%程度にまで抑制できるのではないかとも期待している。

医療機関はランサムウェアによる標的型攻撃に狙われやすい傾向がある

「病院などの医療機関はランサムウェアによる標的型攻撃に狙われやすい傾向が高まっており、特に電子カルテを暗号化されて人質状態になれば診療行為が困難になってしまう上に、薬剤の適合条件など患者の命に関わるなど大きな影響が出ます。ランサムウェアの被害が急増していることから、今、MWG を導入したことは適切な判断だったと考えています」(白川氏)

今後は、MWG をアプライアンスでの運用から仮想サーバーでの運用に切替えることも視野に入れながら、より病院の規模に合った運用方法を模索していくとともに、ログ管理ツールなどと連携したアクセスログの収集・検索・分析の運用を目指す計画だという。

良い製品と良いITベンダーが組み合わされた非常に効果的な導入

今回のプロジェクトを振り返り、白川氏は重ねてコンフィグレーションの重要性を指摘する。多くのセキュリティ製品は標準状態から多少コンフィグレーションを変えた程度でリリースされているケースが非常に多く、常にもったいないと感じていたという。

「セキュリティに関するテクノロジーが複雑化する一方で、サイバー攻撃も日増しに巧妙さが増え、セキュリティ製品に実装された機能を使いこなすためには、エンジニアがその製品のコンフィグレーションを適切に実施しなければ活かすことはできません。言い換えれば、コンフィグレーション次第で本来の性能に近いものに伸び、その製品の開発者が想定した通りの効果を発揮できます。その点で、マカフィーには非常に優れた製品が揃っており、コンフィグレーションもさほど困難ではありませんが、それをとことん使いこなすためには経験豊富なエンジニアの力が必要です。テクマトリックスが行ったコンフィグレーションは非常に完成度が高いものであり、良い製品と良いITベンダーが組み合わされた効果的な導入となりました」と白川氏は語る。

その期待に応えられるよう、テクマトリックスはより一層エンジニアリングスキルを高めながら松本協立病院の先進的なIT化を今後も全力で支援していく考えだ。

McAfee Web Gateway 機能


営業担当より

当初、マカフィー製品をご紹介するにあたり、まずは活用のメリットをご理解いただくことが目的でした。その際、予想を超えて白川様が製品を細部までご理解されており、大変驚いた記憶があります。そのため、当社としては白川様が必要とする情報を滞りなくご提供することや、松本協立病院様としてMWG を円滑に運用できる体制を作っていただくための調整などに重きを置き、導入実現に向けた支援に徹するという気持ちでプロジェクトを進めました。その結果、MWG をご採用いたくことができ、製品はもちろん、当社からご提供したコンフィグレーションにもご満足いただけているようで嬉しく思います。しかもフル機能でご活用いいただくことは、提供会社としてはこの上ない喜びであり、私たちも大変勉強になりました。今後、新病棟のオープンによって地域医療の重要拠点としての役割が一層大きくなる松本協立病院様に対し、当社も今まで以上にサポート体制を強化することで、先進的なIT 支援を続けたいと考えています。
名古屋営業所 ネットワークセキュリティ営業課 髙原 一寿

社会医療法人 中信勤労者医療協会 松本協立病院

・創業:1973年11月
・病院概要:1973年に働く人々のための医療所として市民が力を合わせて作り上げた松本診療所をルーツとし、1981年4月に「医療を真に患者のものにする」という目的で設立。「いつでも どこでも だれもが 安心してかかれる医療」を基本理念に掲げ、松本市近郊の一次・二次医療から三次医療の一部を担う、病床数199 床 、標榜科目数14科の中堅病院に発展。地域に根ざし、地域に開かれた病院として安心感と満足度の高い急性期医療を提供し続けている。
・標榜科目
内科(総合診療科)/循環器内科/消化器内科/呼吸器内科/神経内科(休止中)/リハビリテーション科/小児科/外科/肛門外科/心臓血管外科/放射線科/歯科/麻酔科の13 科目を標榜。また、循環器センター/透析センター/睡眠センター/訪問リハビリテーションセンター/通所リハビリテーションセンターも併設。

お客様担当者

社会医療法人
中信勤労者医療協会
松本協立病院
システム課 課長

白川 栄治 氏

お問い合わせ

  • テクマトリックス株式会社
    西日本支店

    ネットワークセキュリティ営業課

    06-6484-7486

  • テクマトリックス株式会社
    名古屋営業所

    052-219-8138

  • HOME
  • 導入事例
  • 先進的なIT化を進める松本協立病院のWebセキュリティをMcAfee Web Gatewayで強化。SSLフィルタリングや既知/未知のウイルスチェックを高度に実現し将来の医療IoT化に向けたIPv6にも対応

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。