ST. MARIANNA ASSOCIATION サイバー攻撃に遭ってもデータを確実に守るために Vormetric の暗号化ソリューションを最優先対策として選択。医療機関のセキュリティ対策ベストプラクティスを横展開。導入ユーザープロフィール一般財団法人聖マリアンナ会 http://www.st-marianna-group.com/ 設立：1947 年（昭和 22 年）6 月代表者：理事長赤尾保志関東財務局登録番号：関東財務局長第 00656 号 2020 年の東京オリンピックなどの重要なイベントを控えて、今後日本におけるサイバー攻撃が増えていくことが予想されています。内閣サイバーセキュリティセンター（NISC）の情報セキュリティ政策会議による「サイバーセキュリティ戦略」においては、私たちの生活が脅かされないように、サイバー攻撃や内部犯行から守るべき「重要インフラ」として、金融、鉄道、電力、政府・行政サービスなどと並び医療分野が指定されており、医療機関におけるサイバーセキュリティ対策は喫緊の重要課題です。東横惠愛病院を中核として、幅広い医療事業を展開する聖マリアンナ会は、セキュリティ強化の取り組みにおける最優先対策として、重要な情報をサイバー攻撃から守る Vormetric（ボーメトリック）社のデータセキュリティソリューション「Vormetric Data Security Platform」を導入。今後、ネットワーク、エンドポイント、サーバサイド各ソリューションを組み合わせた多重防御措置へと展開していきます。 “重要インフラ”である医療機関に求められる情報セキュリティ確保への取り組み医療機関では、診療情報をはじめとする機微な個人情報が扱われています。加えて、遠からずマイナンバーに関連する番号が導入される予定で、医療機関におけるサイバーセキュリティの脅威はますます増大します。サイバー攻撃などで機能障害を起こした場合、国民生活に甚大な被害をもたらす可能性がある“重要インフラ”を担う事業者に向けて、関連する政府機関からサイバーセキュリティ対策への取り組みの前提となる戦略、計画、ガイドラインが発行されています。重要インフラ保護においては、官民が一丸となった取り組みが重要とされ、政府機関が必要な支援も行いますが、まずは、重要インフラ事業者などが、事業主体として、また社会的責任を負う立場として、それぞれに対策を講じ、また継続的な改善に取り組むことが求められています。しかしながら、医療分野は、他の重要インフラ分野に比べて中小事業者の数が圧倒的に多いことからも、サ〒 216-0003 神奈川県川崎市宮前区有馬 4 丁目 17-23 TEL ：044-852-2373（代表） FAX：044-856-1836 東横惠愛病院（旧東横第三病院）は、戦後の復興期、戦地からの復員者の精神症状やヒロポン中毒症状を改善するために、川崎市からの強い要請に基づいて聖マリアンナ会によって立ち上げられました。今日まで、この東横惠愛病院（精神科、心療内科、内科）を財団運営の中核としながら、病院は、社会のニーズに合わせ地域社会へ面としての医療サービスを提供する義務があるという理念に基づき、在宅療養支援、訪問看護などの領域へと「メディカル事業」の拡大を計画中です。また、医療機関を中心とするお客様に対して、医療・介護事業の運営をサポートする種々のソリューションを提供する「メディカルサポート事業」、ならびに、医療・介護事業に関連する種々のコマースソリューションを提供する「メディカルコマース事業」など、幅広く事業展開しています。イバーセキュリティへの関心と実践は、先行している他の重要インフラ分野に比べて十分とはいえません。「残念ながら、日本の医療サービスのシステムづくり、制度づくりは、欧米と比較してかなり遅れています。例えば、アメリカには、災害時などに瞬時に 400 床規模の病院を立ち上げるセットが準備され、赤十字などが保有しています。これに対して、東日本大震災では医療体制の立ち上がりが非常に遅く、日本のプアーな部分がはっきりわかりました。しかし、2020 年のオリンピック、2030 年の国際会議に向けての仕組みづくりが求められ、それに対応するための体制づくりが始まっているのです。東横惠愛病院は 300 床ほどの規模ですが、 “患者さんのために病院が何をしなければならないか”という課題にもう一度立ち返って、個人のあらゆる情報が含まれる医療情報を守るために、しっかりと取り組まなければならない時代になったと再認識しています。そして、セキュリティ分野でも日本に先行しているアメリカのリーダー企業である Vormetric 社の製品に着目しました。」（聖マリアンナ会理事長赤尾保志氏）サイバー攻撃に遭遇したとしても暗号化で重要データを確実に守る近年、サイバー攻撃は巧妙化の一途をたどり、感染防止対策ツールを導入していても、未知のマルウェアに感染すると被害をくい止められないという例も多くなっています。そこで、マルウェア感染予防だけでなく、万一感染した場合でも被害を回避、低減できるよう、複数のセキュリティ対策を多層に重ねる「多層防御措置」が重要とされています。医療機関においても、個々の状況に合せて複数のセキュリティ対策を組み合わせて実施することが求められています。「東横惠愛病院のシステムでは、エンドポイントのウィルスチェックとファイアーウォールを導入済みでしたが、 “重要インフラ”に求められるセキュリティ対策としては不十分と認識していました。対策の充実が急務ではありますが、一度に全ての対策を講じることはできませんから、サイバー攻撃に遭遇してしまったとしても、 “とにかく重要データを守る”という観点で、サーバサイドの暗号化が最優先と考えました。Vormetric は、暗号化の他にも多くのセキュリティ機能を提供します（表 1 参照）。そして、今後は、ネットワークセキュリティ、エンドポイントセキュリティの分野へとさらなる対策を拡大していきます。」（聖マリアンナ会システム部部長熊谷氏）アプリケーションに依存しない Vormetric で暗号化の範囲を順次拡張システム部が管理する東横惠愛病院のシステムには、医事システム、オーダリングシステム、個別部門システムなどの基幹システムの他に、グループウェア、E メールなどがあり、今回導入した Vormetric を適用しているのは、ファイルサーバによる院内の情報共有システムです。「情報共有システムへの適用を第 1 ステップとして、次のステップ一般財団法人聖マリアンナ会理事長赤尾保志氏分野セキュリティ対策ファイアーウォールネットワークセキュリティ Web フィルタリング IPS / IDS（侵入防止・検知システム） UTM（統合脅威管理） etc. アクセスログ管理ウィルスチェック暗号化によるデータ保護エンドポイントセキュリティリムーバブルデバイスの制御ログインの多段階認証資産管理エンドポイントファイアーウォール etc. アクセス権限管理アクセスログ管理プロキシー Web フィルタリング＆監視サーバサイドセキュリティサーバファイアーウォール暗号化によるデータ保護データベース保護ファイルサーバ保護 etc. [ 表 1] 多層防御のセキュリティ対策青字の対策を、Vormetric データセキュリティソリューションがカバー ST. MARIANNA ASSOCIATION では基幹システムにも適用していく計画です。基幹システムをはじめとする各システムにはそれぞれのアプリケーションが導入されており、マルチベンダー環境ですが、Vormetric はアプリケーションに依存せずに適用できることが、今後の対策の拡充という観点で重要なポイントとなりました。」（熊谷氏）今回導入したのは、暗号化の鍵やポリシーを集中管理する「Vormetric Data Security Manager（Vormetric DSM）」と、データ暗号化エージェント「Vormetric Transparent Encryption」です（図 1 を参照）。一般財団法人聖マリアンナ会企画管理部部長新規事業開発部部長システム部部長 [ 図 1] 構成イメージ・DSM のポリシーで暗号化されたデータを復号化する権利が付与されているユーザは、ファイルを平文で開くことができます（緑の矢印）が、復号化の権利が付与されていないユーザは、ファイルにアクセス権があったとしても、解読できない暗号化データとしてしか開くことはできません（赤の矢印）。熊谷真二氏・PC は院内固定を原則としながら、院内で持ち歩ける「院内貸出 PC」を設けて暗号化エージェントを入れています。万一「院内貸出 PC」が盗難されて院外に持ち出され、たとえログインできたとしても、暗号化されているため、復号化できません。イントラネット人事リスト A 鈴木 B 山田 C 佐藤 ¥・&3xHy ｲﾟ錣喟ｼaﾃ脳ｨｷUｾ虞 2k 哮 *dh_+[cd 0&%$$S6 hsasgahy 8^%%AS インターネット患者情報住所、氏名血液型病名マイナンバ 0123456 9876543 5438760 @Kjda&8k h4$hasda sdaj*h$-‐‒=}¥ ’ [/>, 哮業務データ人事データ医療情報盗難された貸出PC 暗号化したいデータベースサーバやファイルサーバに常駐させる Vormetric Data Security のポリシー Manager （DSM）で設定院内貸出PC (da&8kh4 }hasdaj*< =}¥ [yhb @jal;u,¦¥-‐-‒ Vormetric Transparent Encryptionエージェント人事医療情報共有経理、会計医療事務系 DSM 管理事務系 DSM 可用性を高めるために2台で冗長化 ● Vormetric Data Security Manager（Vormetric DSM）鍵管理とポリシー管理を担う「Vormetric DSM」は、Vormetric 暗号化ソリューションの中核システムで、仮想アプライアンス、または物理アプライアンスを選択できますが、今回は、物理アプライアンス「DSM V6000」 2 台を冗長化構成にして可用性を高めています。 ● Vormetric Transparent Encryption データ暗号化エージェント「Vormetric Transparent Encryption」は、ファイルシステム層に常駐するエージェントで、Windows、Linux、Unix などのサーバで稼働し、ファイル、ディレクトリ、ボリュームに対して、暗号化とアクセス制御を行います。構造化データベース、非構造化ファイルの両方を暗号化することができます。暗号化データの復号ができるユーザ暗号化データの復号ができないユーザ ST. MARIANNA ASSOCIATION データの暗号化 / 復号化（解除）は、エージェントがポリシーに従って自動で行うので、暗号化対象となるシステムには変更を加えることなく、エージェントソフトウェアをサーバに追加するだけで容易に導入できます。また、暗号化やアクセス制御による性能劣化は最小限に抑えられており、情報共有システムを利用するエンドユーザーは暗号化を意識することはありません。ベストプラクティスを横展開し、セキュリティ面でも地域医療を牽引サイバーセキュリティへの取り組みに当たって、個々の医療機関のリソース（人、モノ、金）には限界があります。従って、医療機関は、政府機関の支援を仰ぐとともに、他の関係機関や医療機関との連携をとりながら進めていくことが必須です。また、医療分野でのサイバーセキュリティへの取り組みにあたっての先行公開モデルはないため、医療機関の規模やタイプに応じた実践のためのモデルを早急に確立し展開していくことが必要とされています。「今後は、Vormetric の適用範囲を拡大しながら、ネットワークセキュリティ、エンドポイントセキュリティの分野においても、有力なソリューションやツールを検討して導入し、多層防御の体制を整えていく計画です。そして、東横惠愛病院での成功事例を“ベストプラクティス” として、他の医療機関にも紹介し、ご提供していきます。」（熊谷氏）たとえサイバー攻撃に遭遇したとしても、「とにかくデータを守る」という観点で、サーバサイドの暗号化が最優先と考えました聖マリアンナ会システム部熊谷真二部長地域社会におけるニーズときめ細やかな医療サービスに対応聖マリアンナ会は、医療機関は、社会のニーズに合わせ地域社会へ面としての医療サービスを提供する義務があると考えてきました。そして、2015 年、学校法人新潟科学技術学園新潟薬科大学と包括連携協定を締結し、「保健医療政策・市民会議」を合同設置（初代代表：新潟科学技術学園寺田弘理事長、初代副代表：聖マリアンナ会赤尾理事長）。2016 年に始動しています。「現在、各都道府県は、厚生労働省が策定した“地域医療構想”に向けた取り組みを進めていますが、この市民会議は、時代の変化を見越して 2 年前から着手したものです。地域行政、医療従事者だけでなく、地域住民の代表も参加し、 “健康で文化的な生活を享受できる地域社会”の実現に向けて、より良い地域の保健医療のあり方について検証し、その実践を目指します。」（赤尾理事長）さまざまな機関やシステムが連携する時代に情報セキュリティをどう確保していくべきか。Vormetric の導入成功事例やベストプラクティスで、聖マリアンナ会が地域医療を牽引していきます。 Vormetric について Vormetric 社（本社：米カリフォルニア州）は、データセキュリティソリューションのリーダーで、Fortune トップ 30 社の半数以上を含む世界 1,600 以上の企業が導入しています。Vormetric 社のソリューションは、拡張性、パフォーマンスが高く、あらゆるファイル、あらゆるデータベース、あらゆるアプリケーションデータ、あるいはビッグデータを、物理環境、クラウド環境のどこにあろうとも、外部・内部の脅威から保護します。［販売パートナー］一般財団法人聖マリアンナ会システム部 TEL：044-852-2373 e-mail： [email protected] Vormetric, Inc. 東京オフィス〒 108-6028 東京都港区港南 2-1-1 東京インターシティ A 棟 28 階 TEL：03-6717-4483 e-mail ：[email protected] http://www.vormetric.jp/