不妊治療を専門とした医療機関である医療法人社団煌の会 山下湘南夢クリニック。同院では高まるサイバー攻撃のリスクに対応するため、EPP(Endpoint Protection Platform)およびEDR(Endpoint Detection and Response)の導入を検討。いくつかの候補を検討する中で、アンチウイルス製品との連携が可能で、かつ少ない人的リソースで運用可能なソリューションとして「LANSCOPE サイバープロテクション powered by CylancePROTECT(以下CylancePROTECT)」と「LANSCOPE サイバープロテクション powered by CylanceOPTICS(以下CylanceOPTICS)」を導入した。導入の経緯や導入効果などについて、同院 システム部の永井 修 氏に話を聞いた。
永井氏は、いわゆる「ひとり情シス」として、院内の情報システムやPC、ソフトウェアなどの運用を幅広く担当している。同院におけるサイバーセキュリティの重要性について、永井氏は、「医療機関は個人情報や医療情報など重要情報を扱うため、セキュリティ要件が高い」と話す。特に同院では不妊治療をはじめとするプライバシー性の高い情報を扱うため、セキュリティは重要な課題であった。
永井氏は、医療機関を標的としたランサムウェアなどのサイバー攻撃の被害が増加していることを背景に「医療機関がランサムウェアに感染すると、電子カルテといった患者様の重要な情報を取り扱うファイルが暗号化されてしまう可能性や、院内のシステムが停止してしまうことにより、病院業務に重大な支障をきたす可能性があるため、危機感が高まっていた」と話す。
同院では、それまでパターンファイル型のアンチウイルスを利用していた。しかし、アンチウイルスを導入するだけでは、マルウェア感染を防ぎきれない可能性があることから、さらなるセキュリティ強化を目的にアンチウイルスソフトの見直しやEDR導入の検討を開始した。
従来利用していたパターンファイル型のアンチウイルスについて、永井氏は「大きな課題が2つあった。1つ目はゼロデイ攻撃への対策上の課題だ」と述べた。定義ファイル(パターンファイル)のアップデートがなされるまでのタイムラグを突いた、未知あるいは既知の亜種の脅威に対応できないという課題である。
また、2つ目は管理者の運用負荷が高いという点であった。「当時は法人契約ではなく、PCを購入したタイミングで個別にライセンス契約を結んでいたため、端末ごとにライセンスが終了するタイミングが異なり、管理が煩雑だった」と永井氏は振り返った。アンチウイルスのアップデートも1台ごとに対応しなければならなかったため、どの端末に、どのバージョンのソフトウェアが入っているかといった管理に工数がかかってしまう状態だったという。
アンチウイルスソフトとEDRの選定について、永井氏は「いくつかのセミナーに参加して情報収集をする中で、3製品ほどに絞って検討を進めていった」と振り返る。
まず、AIアンチウイルス「CylancePROTECT」選定の決め手について、永井氏は「マルウェア検知率の高さ」を挙げる。
「マシンラーニングを活用したAIによる予測検知で未知・亜種のマルウェアも99%※検知できるCylancePROTECTであれば、ゼロデイ攻撃の脅威にも対応できると考えた」と永井氏は述べた。
※2023年3月 Tolly 社のテスト結果より
そして、EDRとしての「CylanceOPTICS」については、永井氏は選定のポイントを2つ挙げた。
1つ目のポイントは「小規模事業者でも導入しやすい点」だ。
同院の規模は約40名である。「ライセンス体系の点で製品比較を行う場合、最低100ライセンスあるいは300ライセンスからといったものもあり、我々のような小規模の事業者では検討しにくい製品も多かった」と永井氏は話す。また、EDRの運用をアウトソースできるマネージドサービスも検討したが、「こちらもコスト面で見合わなかった」という。
「その点、CylanceOPTICSは、CylancePROTECTのオプションという位置づけで、ライセンス体系も柔軟で、費用面でも小規模事業者で導入しやすかった。」(永井氏)
そして、2つ目のポイントが、「ひとり情シスでも運用しやすい管理画面のわかりやすさ」である。
「アンチウイルスソフトに加えてEDRも導入した場合、EDRをこの少ない人的リソースで運用できるのか不安があった」と永井氏は述べる。
「他製品では、運用ノウハウの習得に時間がかかり、運用を定着させるまでが難しい印象があったが、CylanceOPTICSは管理画面がわかりやすく操作が直感的で、どこを見て、どう判断したらよいかが明確に感じた。」(永井氏)
CylancePROTECTおよびCylanceOPTICSの導入決定後は、永井氏が1人で約70台のPCとサーバーに導入を行った。「設定には不安もあったが、エムオーテックスが提供するマニュアルや動画を活用することでスムーズに導入することができた」と振り返る。
導入後の日常的な運用については、「週1回程度、管理画面を確認し、マルウェアの検知状況などを確認している」と永井氏は説明する。
導入の効果について、「基本的には、マルウェアが検知されたときにメールで通知が来る設定になっているため、メールが来たら問題があるファイルかどうかを確認し、必要であれば自動隔離されたファイルを復旧するなどの対応を行っている」ということで、管理者として負荷をほとんど感じていない点を評価した。
「今までは、PCを利用している従業員から何か検知されたようだという問い合わせがあれば、現場に行ってその端末を直接確認しなければならなかったが、現在は管理画面から確認することができるため、対応のスピードや負荷はとても軽減されている。」(永井氏)
また、管理工数について、 CylancePROTECTはクラウド型製品のためソフトウェアの更新についても、クラウド側のサーバーで指定バージョンに自動的にアップデートされるため「運用が楽になっている」ということだ。ライセンス管理についても、「どの端末に、どのライセンスのソフトウェアが入っているかが管理画面で確認できるため、以前のような管理上の煩雑さはなくなり、管理者としての負荷はほとんどなくなった」と永井氏は述べる。
そして、CylanceOPTICSについては、「幸い、導入後にマルウェアに感染した事案が起きていないため、実際に活用する場面はないが、CylancePROTECTがマルウェアをしっかりと防御しているため、CylancePROTECTとCylanceOPTICSの組み合わせによるエンドポイント対策で安心感が高まっている」という。
「実は、CylancePROTECT導入時に、端末情報を収集するために自作した管理プログラムが怪しいプログラムとして検知されたことがあった。このことから、AIがしっかりとプログラムの動きを見て、かなり細かいところまで検知していることが確認できたので安心感を得た。そして、CylanceOPTICSと連携していることで、この安心感がさらに高まっている。」(永井氏)
エムオーテックスのサポートについて、永井氏は、「不明点があったときにサポートサイトのフォームから問い合わせを行ったところ、スピーディに、的確な対応を得られて助かった」と評価した。「サポートサイトに掲載されているFAQや、操作方法に関する動画やマニュアルなどのサポートコンテンツが充実しているため、問い合わせを行うことなく自身で解決できることが多い」ということだ。
また、エムオーテックスからは、「Emotetが流行したタイミングで、どのように設定したらよいか、有益な資料やセミナー情報の提供といったフォローがあった。こうした手厚い情報提供によって安心して日々の運用できている」と永井氏は話した。
今後について、永井氏は「今回のCylancePROTECTおよびCylanceOPTICSの導入については満足しており、今後も安定的に運用していきたい」とした。さらに、その上で、エンドポイントだけでなくネットワークを含めた包括的な検知・対処が可能なNDR(Network Detection and Response)や、XDR(Extended Detection and Response)などのソリューションについても触れ、「昨今の高まるサイバーセキュリティの脅威を注視しており、さらなる対策強化のため、関心を持って情報収集をしている段階だ」と話した。
そして、エムオーテックスには今後も継続的な製品の機能アップデートとサポートについて期待したいと締めくくった。
※本事例は2023年9月取材当時の内容です。