西日本最大級規模の医療法人 錦秀会(以下、錦秀会)は、大阪市南部・堺市・泉州地域・中河内地域・神戸市を医療圏とする2つの医療法人と社会福祉法人のほか、学校法人、公益財団法人、NPO法人から構成される錦秀会グループに属している。1957年の阪和病院の開院から長い歴史を持ち、現在大阪市南部と堺市を中心に5病院2施設、総病床数3,206床を有する関西屈指の規模の医療法人だ。「やさしく“生命(いのち)”をまもる」を理念に、医療・介護・教育の複合機関として地域住民の健康を支えている。
IT資産管理として統合エンドポイントマネジメント「LANSCOPE エンドポイントマネージャー オンプレミス版」を導入済みで、今回新たにAI型ネットワーク脅威検知「Darktrace」をご検討・ご導入いただいた背景を伺った。
「他院でのランサムウェア攻撃の事案発生に呼応するように不正アクセスが急増したことに極めて強い危機感を感じていましたが、Darktraceにおける最先端のAI技術により、今ではあらゆる脅威を予兆レベルで自律検知・遮断することができるようになり、院内の全通信が完全に可視化されました。これまで積み重ねてきた多層防御への対策を含め、医療機関としては比較的進んだセキュリティ体制を構築することにより、IT-BCPの観点においてもリスクに対する被害の最小化につながり、且つ医療業務を中断させない為の対策を取ることができたと考えています。また一方でこれらの対策により、地域住民の方々にもより安心して受診していただける医療機関になったのではないかと考えています。」
医療法人錦秀会 医事管理部 医事管理課 情報システム課 花坂 仁啓 氏
2021年10月、徳島県の病院において、VPN機器がサイバー攻撃を受け、電子カルテやバックアップデータが暗号化されてしまい、医療業務に深刻な影響を及ぼした事件があった。同じ頃、錦秀会が管理するシステム保守用のVPN機器に対しても、1日に100件を超える不正アクセスがあり、危機感を募らせるとともにVPN機器に対する対策を強化した。
翌2022年10月には極めつけの事態が起こった。同じ大阪にある急性期病院においてランサムウェア攻撃が発生、医療業務が長期間停止する重大事故が発生した。近接する錦秀会では当時、同院との連携を強化し患者を受け入れる等医療支援を行った。「混乱する医療現場や患者様を見て、影響の大きさを禍々と感じました」と花坂氏は話す。
錦秀会では、これまで、主に外部からのサイバー脅威に対抗する出入口対策や事後対策を入念に実施してきたが、医療業務がストップするような最悪の事態を未然に防ぐためにも、これを機にゼロデイ攻撃や未知の脅威、内部への侵入対策を強化することにした。
情報系ネットワークのエンドポイントレイヤーに、新たなNGAV(次世代型アンチウイルス)ソフトやEDR(Endpoint Detection and Response)製品を導入することに加え、万が一、脅威の侵入を許してしまった際の最後の砦として、ネットワークの内部対策を効率よく実施できるNDR(Network Detection and Response)製品「Darktrace」の検討を開始。
錦秀会では、以下の3つをポイントとしてNDR製品を検討し、「Darktrace」の採用を決定した。
まず、対策のために導入する新たなソリューションは、医療業務やシステムに悪影響を与えないことが大前提であると考えた。
その点、Darktraceは、 ITネットワークのコアスイッチにアプライアンス製品を接続し、ミラーポートを設定することで、業務端末と各種サーバー間のあらゆる通信パケットのヘッダー情報を収集・解析する、というシンプルな製品だ。そのため、エージェントレスで容易に導入でき、院内の医療機器やサーバーの通常稼働にも影響を与えなかった。
また、病院全体のシステム構成や環境は複雑多岐にわたり、対策のためには「VPN機器」や「関連組織のネットワーク」、「ベンダーの持ち込み端末」、「医療用IoT機器」など、あらゆる経路からの侵入を想定しなければならなかった。
「想定される攻撃はPCなどの端末を経由しないことも多く、エンドポイントの監視だけでは不十分です。患者様の診療情報という非常に機微な情報を含む電子カルテなどの重要システムを守るため、内部ネットワークを網羅的に監視する必要性を感じていました」と、錦秀会のITコンサル・導入支援・運用保守を担当しているアスクラピウス株式会社の高島氏は話す。
これに対しDarktraceは、業務端末と各種サーバー間のあらゆる通信パケットをもとに解析を行うため、内部サーバーや業務PCはもちろん、VPNや関連先からの通信も可視化できる。「AIが自己学習しているので精度が良いこと、また、インターネットとの通信を前提としない閉域網でも使えることが非常に嬉しい」とアスクラピウス株式会社の村尾氏は評価する。
そして、持続可能な運用のためには、管理者の負荷は徹底して抑える必要がある。
「多くの医療機関、あるいは企業・組織の担当者が悩まれているのと同じように、私達も、残念ながらセキュリティ運用に潤沢に人的リソースを割くことはできません。強力な助っ人が必要でした」と花坂氏は話す。
Darktraceは、ルールやシグネチャに頼ることなく、事前設計やメンテナンスも不要でAIが常時学習するため、管理者の運用負荷を徹底的に軽減できる製品だ。
また、錦秀会では、特に異常度の高い通信に対して、リセットパケットの自動送出などにより該当の通信異常を24時間365日体制で自律遮断する「Darktrace RESPOND」もあわせて導入している。これにより、運用負荷を掛けることなく、検知の次の「対応」のフェーズも自動化された。
導入から5ヶ月経過した現在、錦秀会ではグループ全体で約3,000デバイスからなる病院情報システムの通信状況をDarktrace製品で一元監視している。そして、それを担当者2名でという少人数運用を可能とした。運用上の工夫として、定常から逸脱した通信が発生した際のアラートを、Microsoft Teamsのメッセージとして即座に通知されるように設定することで、Darktrace RESPOND専用のモバイルアプリで、時間や担当者の居場所を問わず、通信異常時の自律遮断の実行モードを曜日や時間帯、異常度別に緻密に設定操作できるようにしている点も挙げられる。
最後に、花坂氏は「今後、万が一、ランサムウェア攻撃の予兆が発生したとしても、昼夜問わず最も早期に自律阻止できる体制を構築できたことは錦秀会グループにとって大きく、担当者である私達も、何より医療従事者達も安心感が格段に向上した。
エムオーテックスとはセキュリティ診断などでも連携し、今後もさらなるセキュリティ強化を一緒に進めていきたいと思っている。引き続き手厚いサポートや有用な情報提供を期待している」と述べ、締めくくった。
ITコンサル・導入支援・運用保守
アスクラピウス株式会社
会社URL:https://asclepius.co.jp/
アスクラピウス株式会社は2022年に設立し、医療法人錦秀会から「ITコンサル・導入支援・運用保守」の業務委託を受けている。医療法人を健全化させるミッションを掲げ、経営・業務改善、医療コンサルティング、ITソリューション、医療機器販売、臨床検査受託サービスなど、安定的な経営を実現するための事業を複数展開している。
※本事例は2023年11月取材当時の内容です。