院内ネットワークを可視化して盲点を無くす
医療機器の潜在リスクも対策

  3. 院内ネットワークを可視化して盲点を無くす 医療機器の潜在リスクも対策

会社名みやぎ県南中核病院

製品
会社規模
300~499名
事業内容
病院・施設の運営
業種
医療・福祉
URL
https://www.southmiyagi-mc.jp/
  • 情報漏洩・内部不正対策
  • マルウェア・ランサムウェア対策
  • サイバー攻撃対策
  • ネットワーク脅威検知
選定ポイント
医療業務や既存環境に影響を与えず、院内ネットワーク全体を監視し変化を可視化
院内ネットワークを網羅的に可視化するため、侵入経路が多様化し、サイバー脅威を100%防げない時代における「ゼロトラストセキュリティ」として有効
導入の効果
AIが24時間365日監視を行いセキュリティ人員の不足を強力にサポート
担当者による手動対処に加え、DarktraceのAIによる自動対処を設定。人手不足をカバーしながらも有事の際のセキュリティも確保
医療機器のさらなる管理強化
セキュリティホールとなる管理外の機器をも可視化し、増加する医療機器の管理強化を実施

みやぎ県南中核病院は、病床数310床、34の診療科を備えた地域随一の急性期病院で、仙南地域を中心に県南の広域をカバーする総合医療病院である。「地域に信頼される、質の高い、親切な医療サービスを提供する」という理念のもと、特に救命救急医療に力を入れており、ドクターヘリ発着のヘリポートを有する県内有数の救急医療施設として質の高い医療を提供。災害や緊急時には地域全体のライフラインとしての役割を果たしている。また2020年(令和2年)1月末には、仙南地域は全国に先駆けて厚生労働省から「重点支援区域」に指定され、中でも、みやぎ県南中核病院は急性期医療の拠点機能を担っている。

今回は、持続可能な地域医療提供体制を提供するために、積極的に医療DXを推進しているみやぎ県南中核病院のご担当者様から、セキュリティ対策としてAI型ネットワーク脅威検知「Darktrace」を検討・導入した背景を伺った。

侵入経路は1つではない、どこから来るか分からない
サイバー攻撃の兆候を取りこぼしなく可視化したい

近年、全国的に医療機関においても、ランサムウェアや医療機器を狙ったサイバー攻撃が急増している。県南の広域医療を担う、みやぎ県南中核病院が診療業務停止に陥ることは、地域医療そのものの崩壊リスクとなるため、いかなる場合も医療提供を止めるわけにはいかず、サイバーセキュリティ対策は常に最優先事項であると位置づけられているということだ。

現在、みやぎ県南中核病院では、診療業務の効率化や人手不足対策など、持続可能な地域医療提供体制を構築するための医療DXに取り組んでいる。一方でセキュリティ対策は、単なる効率化や費用対効果の問題ではなく、地域を守るための社会的責任であり“保険”と捉える必要があると、同院 統合情報診療部 医療情報管理課 課長 坂野氏は語った。

統合情報診療部 医療情報管理課 課長 坂野氏
統合情報診療部 医療情報管理課
課長 坂野氏

「みやぎ県南中核病院では、これまでも工夫を重ねて対策を講じてきました。しかし、今や攻撃経路は一つではない。USBメモリーなどの外部記録メディアで人が持ち込む可能性もあるし、最近急増しているIoT機器経由かもしれない。外部との境界だけを見て防いでいても、とても防ぎきれません。そのため、ネットワーク全体に不審な点がないか見ることが重要だと以前から考えていました。」(坂野氏)

坂野氏は早くから、万が一の事態に備えたゼロトラスト型のセキュリティ対策を強化する必要があり、そのためにはネットワークで院内の変化を網羅的に可視化できる製品が必要だと感じていたという。そんな折、他院の大規模サイバー攻撃事件を受け、同院でもリスク評価の実施を行い、経営層や従業員らとセキュリティ研修会などで意見交換したことなどが後押しにもなり、院内ネットワーク全般を担っているベンダーに相談。さまざまな製品の提案を受ける中で出会ったのがNDR(Network Detection and Response)「Darktrace」だった。

院内ネットワークを網羅的に可視化
エージェントレスで診療業務に影響を与えない

Darktraceを導入した決め手としては、主に2点だったという。

1点目は、元々の目的である「院内ネットワークを網羅的に可視化できる」点である。Darktraceはネットワークに流れるパケット(通信状況)を監視することで、平常時には見られない異常な動きや未知の脅威の兆候を可視化できる。つまり、機器や環境に依存せず、院内ネットワークの境界防御を突破されてネットワーク内に侵入された場合でも、攻撃者の動きを可視化できることになる。これにより、従来の境界防御型のセキュリティ対策では見逃される可能性があったリスクも把握し、万が一のときも迅速に対応が可能となる。

2点目は、既存環境に影響を与えない点だ。

「エージェントレスなので、既存の医療機器やシステムに影響を与えず、スピーディーに導入できる点にも魅力を感じました。弊院は絶対に止めてはならない地域の救命救急を担っているので、製品導入のためにシステムを一時的にでも止めることは避けたかった、という背景はあります。実はEDR(Endpoint Detection and Response)も検討していました。何に重きをおくかによって適切な製品は異なり、今回弊院が懸念したのは、エンドポイント製品だと導入・展開時だけでなく、導入後も製品の設定やインストール・アップデート状況の棚卸といった定期的なメンテナンスが必要となり、運用工数がかかってきてしまう側面でした。それに対して、Darktraceは設置するだけでしたし、今後ネットワーク構成が変更になった際も、それによる製品の設定変更などは不要なので、メンテナンス工数に心を砕くこともなく、非常に助かります。」(坂野氏)

DarktraceはAIが自律的に組織の通信状況から学習を行うため、管理者による定期的なメンテナンスが不要という点も導入・運用時の負担軽減につながる。医療業界特有ともいえる“エンドポイントにセキュリティツールを導入しづらい”、“アップデート作業がしづらい”という課題解決になると坂野氏は語った。

Darktraceで24時間365日監視
担当者複数人分の効果を発揮

みやぎ県南中核病院には、電子カルテなどのインターネットからは隔離された医療ネットワーク系と、インターネットで外部とつながっている業務ネットワーク系の2つのネットワークがあり、Darktrace1台で両方を監視し、4名体制で運用している。

日々の運用は、各ネットワークに合わせたアラート対応を行っているとのこと。業務ネットワーク系でアラートが発生した場合は、脅威レベルを判定するためにリスク調査を実施し、Darktraceが提供する詳細レポートを確認するなどの作業を行う。そして、医療ネットワーク系でアラートが発生した場合は、性質上、患者の個人情報や健康に関わる情報といった機微な情報を取り扱われる側であることから、規模に関係なく徹底した調査を実施している。こうした際には、Darktraceが提示する詳細レポートはもちろん、電子カルテのログイン履歴など、さまざまな情報を組み合わせて調査を実施しており、実際は幸いなことにそれほど影響度が大きくないものがほとんどであるが、徹底した調査を心掛けているという。

こうした運用状況を見て、坂野氏はDarktraceの導入効果を3点挙げた。

(1)網羅的な院内可視化で医療機器管理の強化も実現
Darktraceの導入により、導入当時の目的通り、院内ネットワーク全体の平常状態を把握できている。どの機器から・どのIPに対して・どのような通信が・どのくらい発生しているのかが分かるため、院内全体を網羅的に監視できているという。もちろん、従来型の対策の枠組みであっても、複数のセキュリティ製品を駆使すれば、ある程度は把握可能ではあるだろうが、それらの製品ごとによる“点”の管理ではどうしても死角が発生してしまううえに、管理者側では各製品からの情報の突合作業など、多くの工数が発生してしまう。今回のDarktrace導入でそのような懸念が払拭され、1製品で全体を網羅的に監視できるようになったという。
 
Darktraceが稼働すると実際、管理外の端末持ち込み(シャドーIT)を検知し、これには、医師が診療のために独自に端末を持ち込むケースがあるという背景があった。現在、みやぎ県南中核病院では、セキュリティ対策の一環として、ネットワーク接続機能を有するIT機器すべてに固定のIPアドレスを振るルールを敷いている。Darktraceで管理外端末からの接続が可視化されることにより、ルール違反を即座に把握でき、セキュリティホールを無くすことができたという。
 
また、セキュリティホールを無くすという点は、PC端末に対してだけでなく、昨今増加している通信機能を持つ医療機器に関しても重要な対応だと坂野氏は語る。

「最近の医療機器は、ほぼ100%と言っていいほどネットワーク通信機能を有していますし、IoT機器もあり、端末の種類・数は複雑で膨大です。つまり、それだけセキュリティの穴が増えるリスクも抱えていることになります。また、医療機器の中には、システム内部の通信時にのみ使用するIPアドレスが必要なものもあります。そのような医療機器が院内ネットワークと通信する必要があるかどうかを必ず確認するようにしています。」(坂野氏)

このように、病院内のIT環境は、業務PCや電子カルテ端末に加え、医療機器や関係者が悪意なく業務上持ち込んでしまうシャドーIT、ベンダーの保守端末など、それだけセキュリティリスクが高い状態となっている。堅牢なエンドポイント管理ができないからこそ、ネットワーク領域で監視するDarktraceのメリットが最大限に生きている。

(2)リアルタイムの異常検出で初動対応が向上
坂野氏によれば、Darktraceによる通信状態の可視化により、定常状態から外れる、管理者が把握していない不審な挙動をリアルタイムに検知できるようになったことで、脅威に対する初動対応スピードが格段に向上したという。
 
現在のところ、セキュリティインシデントは発生していないが、日々の運用の中でも導入効果を十分に実感している。例えば、Darktrace導入後に初めて行った保守作業中にリモート接続を行ったところ、Darktraceにより通信を遮断された。また、端末の稼働確認のためにポートスキャンを行った際には、リスクのある通信として検出された。通信状態の可視化と共に、脅威に対して自律的に対応できているという効果を実感していると坂野氏は語った。

(3)Darktraceによる24時間365日監視は、セキュリティ担当者複数人分の働きに相当
Darktraceには、アラートに対して自動対処を行う機能も搭載されている。みやぎ県南中核病院では、日中は担当者による手動対処とし、夜間・休日はDarktraceのAIによる自動対処を設定しているという。
 
Darktraceは従来型のシグニチャやサンドボックスという仕組みではなく、AIが監視対象の普段のネットワーク状態を「正」として自律的に学習し、そこから逸脱した挙動を脅威として検知するというホワイトリスト型の仕組みを取る。一般的には怪しいとされる挙動も、その組織にとっては通常であるケースもある。そのような場合、従来型のセキュリティ製品では個別にチューニングする必要があり、メンテナンスや日々の運用において大きな負担となり、専門的な知識・ノウハウがなければ製品を導入しても自組織での解決が難しくなることも考えられる。しかし、Darktraceはこういった組織特有のIT環境の事情について、AIが自律的に学習し適切な対応をとり続けてくれるため、人的リソースに課題があっても検知や対処の精度を担保できることが大きな特長だ。

 

「日々のアラートは10件程度ですね。Darktrace導入でアラートの発生傾向(管理者が把握していない端末の出入りが発生する頻度が高い部署がどこであるかなど)がある程度見えてきたので、今はアラート発生時の原因調査に時間を取られてしまうことはほとんどありません。それは、DarktraceのAIが自律的に学習してくれているからだと思います。そのため、まれに新しいアラートが出たときは、原因が何かしっかり調べるという、メリハリをつけた効率的な管理・運用ができていると思います」(坂野氏)

24時間365日、全院内ネットワークを監視しているDarktraceのAIは、セキュリティ専任人材3人力くらいのパフォーマンスを担っているように感じていると、坂野氏は満足度を語った。

Darktraceはさまざまな起点からの脅威をトリアージすることで、効率的なフォレンジックを支援する
▲ Darktraceはさまざまな起点からの脅威をトリアージすることで、効率的なフォレンジックを支援する(クリックで拡大)

地域医療×災害拠点病院としての役割を果たすため
より堅牢なセキュリティ体制を整えていく

冒頭にも記した通り、みやぎ県南中核病院は、県南の広域医療を担うだけでなく災害拠点病院でもある。今後、同院では設備として、患者用Wi-Fiの他にも、災害時の対応用途のWi-Fiも導入を検討しているということで、有事の際には、地域のライフラインとしての役割を、もちろんセキュアに果たしていきたいという意向である。

坂野氏は今後の展望として、災害時を含めた地域全体の医療提供を途切れさせないためにも、今後もネットワーク監視体制の強化や新しいセキュリティ技術の導入を検討していきたいと力強く語り締めくくった。

※本事例は2025年1月取材当時の内容です。

製品ページを見る