シスコ セキュリティ ソリューション 導入事例
社会福祉法人恩賜財団済生会支部 福井県済生会病院
多様化するデバイスの安全な活用に不可欠な認証基盤を
Cisco Identity Services Engine（Cisco ISE）で構築
ユーザの見える化、シンプルな運用管理を実現し、将来性も確保
導入ソリューション
Cisco Identity Services Engine
導入前の課題、検討事案
・ 院内業務でスマート デバイスをセキュア
福井県済生会病院は、地域医療の拠点となる総合病院として長い歴史を持ち、
患者や来院者に高い満足度の医療を提供することはもとより、職員の業務環
境（ワークスタイル）改善にも積極的に取り組んでいる。新棟建設を機に院
内ネットワークを再構築した同院は、併せてセキュリティ基盤も強化。Cisco
Identity Services Engine（Cisco ISE）を採用して、柔軟かつ拡張性に優れた
インフラ整備を進めている。
に利用できる IT 基盤を構築し、医師や現
場のニーズに応えていく必要があると考え
ていた。
・ 院内の複数のネットワーク セグメントの
違いを意識することなく一元的なセキュリ
導入の経緯
ティ対策を行えるようにすることで運用
負担を減らし、IT 投資の効率化も図りた
かった。
医療の発展に不可欠な IT 基盤整備と利活用促進を
シスコの技術で実現できると確信
福井県済生会病院は、
「患者さんの立場で考える」という理念の下、地域医療の
充実とレベルアップを担う総合医療施設として活動している。来院者や入院患者との関わりだけ
・ 病院外からの電子カルテへのアクセスな
でなく、地域の病院、診療所や介護看護などの各施設とも連携を密にしており、病院内外のさま
ど、将来的な構想の実現に必要な、医療機
ざまな要求に応えるため組織運営にも力を入れている。患者と従業員の満足度を共に高め、病院
関に合ったセキュリティ基盤を実現したい
と考えていた。
導入効果
・ Cisco ISE がユーザの見える化、ネット
ワーク セグメントに依らない一元的な認
満足度でトップの水準を保ち続けている数々の取り組みを評価され、2012 年には医療機関とし
て初めて日本経営品質賞（大規模部門）を受賞した。
同院は医療や院内業務の改善における IT の活用にも積極的で、以前から院内ネットワーク（無線
LAN）環境にはシスコ製品を用いている。2013 年には、セキュアなアクセスに不可欠な認証基
盤として Cisco ISE を導入し、将来にわたって運用できる安全なインフラの整備を進めている。
証処理、ポリシーに則ったアクセスを可能
事務副部長 経営企画課 課長の齋藤哲哉氏は、日本経営品質賞をきっかけにシスコとの関係が深
にし、多様なデバイスからセキュアにアク
まったと話す。
セスできる院内ネットワーク基盤が実現で
きた。
「シスコが 2011 年に日本経営品質賞を受賞した時、授賞式に参加したのがきっかけです。そこ
・ 1 人複数台のデバイスの利用、
病院外から
で高品質なビデオ会議やシスコ ソリューションの紹介を見て、地域医療連携や情報共有をよりス
のアクセスに対するポリシー制御など、今
ピーディかつ高い品質で実現でき、さまざまな取り組みに役立つと感じました。その場でシスコ
後見込まれる状況や取り組みに即座に対
応できる将来性、拡張性を備えたセキュ
アな IT 基盤を構築できた。
の方に当院のビジョンをお話しして、賛同いただいたことが今回のネットワーク再構築やセキュ
リティ基盤の整備にもつながっています。
医療の現場では人のつながりが大切ですが、各々のスキルは異なりますし、マンパワーも限られ
ています。そこを IT の力で補えれば、可能性は広がっていくでしょう。セキュリティをどう担保
し、運用するかは今まで大きな課題になっていましたが、シスコの技術を使えばやりたいと思っ
ていたことが実現できると考えたのです。
」
同院の IT に関する直近の課題として捉えていたことは 2 つ。1 つは、これまで業務やシステム拡
張の要求に応じて機器を導入、運用してきた院内ネットワークの整理統合化。もう 1 つは、昨今
のスマート デバイスの普及を踏まえたマルチ デバイス対応とそれに伴うセキュリティ対策だ。経
営企画課 主任の竹内将氏は、これらに対応すべく院内に専門チームを発足させたと話す。
「医師の方々から、スマート デバイス（持ち込みデバイス）対応、電子カルテへの遠隔からのア
クセス、医療情報の利活用など、いろいろな話題や要望は出ていましたが、それらの実現に必要
な共通要件を見出すことが先決だと考えました。そこで各々の内容を整理、検討した結果、やは
りネットワークとセキュリティにしっかり取り組もうという話に落ち着きました。
2013 年の南館の新設に加え、電子カルテ システムのネットワークが 10 年目を迎えて更新の必
要があり、再整備のタイミングとしてはちょうどよかったです。特にセキュリティの面では、ユー
事務副部長
経営企画課
課長
ザ目線での利便性や運用管理などを重視して検討しました。
」
MBA
齋藤 哲哉 様
導入∼効果
運用管理、コスト共に Cisco ISE のメリットを評価
強固な認証処理をシンプルに運用できる基盤を実現
同院のネットワークは、大きく 3 つのセグメントが存在している。
・電子カルテを運用する閉域網（ノート PC、看護支援の PDA でアクセス）
・オフィス系 LAN（各種 PC、スマート デバイスでアクセス）
・入院患者や来院者に開放するゲスト アクセス網
（PC、
スマート デバイス、
ゲーム機などでアクセス）
これまで、これらを個別に構築、管理していたが、2013 年の南館新設を機に、3 つのセグメント
を VLAN 技術で 1 つの物理配線にまとめてネットワーク構成をシンプルにした。
経営企画課
主任
竹内 将 様
竹内氏は次のように話す。
「すでにシスコの無線 LAN アクセス ポイントを使っており、なるべく既存の機器設備を活かした
形で、より良い環境を整えたいと考えていました。ネットワーク構成がシンプルになると同時に、
Cisco ISE を用いてセキュリティ ポリシーも一元的に管理できれば、IT 投資の効率化にもつながり
ます。
」
Cisco ISE で作成したポリシーが既設のネットワーク機器にも適用可能で、コスト面でもシスコの
トータル ソリューションには優位性があったと、医療情報課の伊藤司氏は話す。
「同様の機能を、複数のメーカーの機器と機能の組み合わせで実現すると、コストが 2 倍近くかかっ
てしまうとの試算がありました。さらに、認証局、デバイス管理、アカウント管理を個別のシステム
で構築すると運用も煩雑になります。 今後デバイスの数や用途、利用シーンはさらに増えていくで
しょうから、運用や障害対応を想定すると、Cisco ISE でそれらの機能をまとめてシンプルにした
医療情報課
伊藤 司 様
いと考えたのです。
」
院内では、有線 / 無線ともに、接続した VLAN 単位に設定されたアクセス制御を実施している。
Cisco ISE の導入により、今後、デバイスが移動して直接アクセスするネットワークのセグメントが
変わっても、ユーザ ID やデバイス属性、ネットワークの属性などを判定し、Cisco ISE に定義され
たポリシーに従ってきめ細かいアクセス制御が可能になる。
もちろん、このセキュア環境のネットワーク構成は、シンプルな構成の上で実現できるのも
特徴だ。
今回、無線 LAN システムの統合も一緒に実施したことで、電波干渉のリスクを回避し、利用する
SSID を最小限に抑えることにも成功した。伊藤氏は次のように話す。
「サービスごとに無線 LAN システムを分離していては、
単にコストが増えるだけではなく、
無線のチャ
医療情報課
蓑輪 征知 様
ネルの設計や調整作業も複雑になります。シスコの無線 LAN ソリューションに統合したことで、干
渉を考慮した最適なチャネル割り当てを維持できます。また、利用する SSID の数を最小化したこ
とで、無線帯域を消費しスループット低下を招いていた SSID のビーコンの削減にも成功しました。
無線デバイスを最大限活用でき、かつ将来の拡張にも柔軟に対応可能な環境が整いました。
」
構築したシステムでは、ユーザの利用状況の見える化と、ユーザ利用手順の簡素化を特に重視し
ている。医療情報課の蓑輪征知氏は、現状を踏まえて次のように話す。
「電子カルテにアクセスする専用端末は 1 台を複数ユーザで共用するため、すでに誰かがログイン
中の端末で別の人が入力することを想定し、
『いつ、どこで、何をしたか』を把握できるように、
Internet
電子カルテ、業務システム系
部門サーバ
オフィス 系
ゲスト アクセス系
電子カルテ サーバ
・ 3 つのセグメントのネットワークを
VLAN で 1 つの回線に統合
・ Cisco ISE でセグメントに依らない
一元的なセキュリティ対応を実現
認証とポリシーを制御
Cisco Identity Services Engine
社内の有線、
無線やリモート アクセス ネッ
電子カルテ
院内支給端末
EAP-TLS認証
電子カルテ
持ち込み端末
EAP-TLS認証
＋
Webauth
（Active Directory 連動）
※次期計画予定
トワークのユーザ / デバイス認証とポリ
院内 PC
（メール、
Web 利用）
EAP-TLS 認証+Webauth
（Active Directory 連動）
※近々完成
ゲスト アクセス端末
（PC、
スマート デバイス、
ゲーム機）
Webauth
シー管理を処理。
スマートフォンや、Bring
Your Own Device（BYOD）環境の導入
に必要となるデバイスのプロファイリング
処理、ユーザ認証の属性などに応じたポ
リシーをきめ細かく管理し、ネットワーク
にアクセス制御を指示。
さらに、それらの
情報をログとして記録します。
見える化などの対策はしっかり行っていかなければなりません。一方で、現場の利用者に負担
をかけないために、ログインや認証はなるべくシンプルな手順にしたいと考えています。Cisco
ISE は、こうした課題の解決に役立つでしょう。」
将来的には、業務や職種に応じて最適な端末を使い分ける、1 人複数台のデバイス利用の環境を
想定している。持ち込み端末も含め、多様な端末の利用が前提となるため、同じユーザが利用し
ていてもデバイスの属性（病院支給 / 持ち込み）やデバイスの種別を Cisco ISE で判定し、各
デバイス単位のアクセス制御を行うことで、デバイス固有の脆弱性や、持ち込み端末特有のリス
クにも柔軟に対応していくことが可能になる。
これまで、院内の特定の場所で提供していた、入院患者や来院者向けのゲスト アクセス サービ
スも、Cisco ISE と無線 LAN の組み合わせにより、PC やスマート デバイスなどの持ち込み機
器が接続できるようリニューアルしたと竹内氏は話す。
「まだ積極的にアピールする前から、利用者はひと月に 70 人を超え、ニーズの高さを裏付けま
した。外来患者さんにも利用していただけるよう、利用者自身がアカウントを発行できる仕組み
も提供する予定です。
」
社会福祉法人
恩賜財団済生会支部
福井県済生会病院
今後
地域医療の質の向上を担う中核的存在として
IT 基盤の整備と利活用をより積極的に推進
同院では、的確かつ迅速な医療の提供に向けて、医師がタブレット端末などで
病院の外からでも電子カルテにアクセスできる仕組みを整えたいと考えている。Cisco ISE の
導入により、ユーザ個人を特定できる認証と適切なセキュリティ ポリシーの運用基盤は整った
と竹内氏は話す。
「BYOD のようにデバイスを問わずに利用できる環境が理想です。今は電子カルテにアクセス
する端末は病院側で用意し配備していますが、更新や配布の負担もあります。医師や医療従事
者にとっても自分の使いやすい、自由な端末が使えないというストレスがあると考えています。
所在地
福井県福井市和田中町舟橋 7 番地 1
設立
1941 年（昭和 16 年）8 月
病床数
460 床
これからさらにスマート デバイスが増え、活用されていくことがわかっている時代に、できな
い、使えないことを前提にしてしまっては良い環境は整えられないでしょう。医師がセキュリ
ティなどを意識しなくても、常に安全かつ快適に使えるようにすることは今後の課題です。」
電子カルテ システムや Active Directory の更改、再設計なども視野に入っており、ネットワー
診療科目
クを含めた最適化の取り組みは続けていくと伊藤氏は話す。すでに構想はできていて、実現に
23 科目
内科、呼吸器科、外科、整形外科、脳神経外科、産
婦人科、小児科、泌尿器科、循環器科、消化器科、
呼吸器外科、放射線科、眼科、耳鼻咽喉科、麻酔
科、皮膚科、リハビリテーション科、神経科精神
科、心臓血管外科、神経内科、口腔外科、腫瘍内
向けて歩みだしているとのこと。
「これまでのシステムやネットワークは後付けで拡張されてきた部分があり、最適化が必要なと
ころはまだ相応に残っています。今回の取り組みを通して電子カルテの構築ベンダーとシスコ、
科、病理診断科
当院のリレーションもしっかりできるようになったので、ネットワーク全体の見える化や新た
URL
な展開を図っていくことになるでしょう。」
http://fukui-saiseikai.com/
福井県済生会病院は福井県の中核病院
として、
「患者さんの立場で考える」を
蓑輪氏は、見える化の段階を次のように話す。
「今回 Cisco ISE が入ったことでユーザの見える化ができるようになりました。今後は、デバ
イスの移動状況や履歴の見える化、そして通信の見える化が必要になってきます。デバイスが
理念に掲げ、地域完結型医療と、安心・
どこにあり、どの人がどんな通信をしているのか、どんな攻撃を受けているのかといったネッ
安全で質の高い医療の提供に努めてい
トワークの見える化が、次の目標です。」
る。また、組織の継続的な改善と成長
を続けるための済生会クオリティマネ
ジメントシステムという独自のシステ
最後に、齋藤氏はシスコへの期待を含めて、次のように話す。
「これから、ビデオ会議の仕組みを活用して地域医療や介護を支援したり、医師の方々の勉強会
ムを導入し、全職員で理念や価値観を
や情報共有を効率化したり、さまざまな取り組みが進んでいくでしょう。そうしたニーズはす
共有してフラットな組織づくりとチー
でにあり、当院がそのためのインフラやサービスを提供できるようにしていくことを通して、
ム医療を実践。
地域医療の質を向上させていきたいと考えています。医療サービスの提供に関わる多職種連携
さらに、「病院の差は中で働く職員の
差」という考えのもと、ワーク・ライフ・
や地域包括ケアシステムにも応用していくために、ネットワークやインフラについてもさらに
バランスの導入や教育サポート、福利
学び、自分たちがもっと目利きができるようになっていかなければいけないと感じています。
厚生の充実など、職員満足度向上のた
シスコとの関わりを経て学ぶ部分はとても多いです。
めの様々な取り組みも実施している。
シスコが提唱しているヒューマン ネットワークへの取り組みと、当院が目指す方向性は、人と
これらの取り組みは外部からも評価さ
れ、2012 年には医療機関で初めて日
本経営品質賞（大規模部門）を受賞。
人との関係で成り立つという点で似ているところがあります。医療の未来を切り開いていくた
めに、お互いがわくわくしながらいろいろな場面で協業できればと思います。」
©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。
（0809R）
この資料の記載内容は 2014 年 5 月現在のものです。
この資料に記載された仕様は予告なく変更する場合があります。
お問い合せ
シスコシステムズ合同会社
〒 107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワー http://www.cisco.com/jp
お問い合わせ先：シスコ コンタクトセンター
0120-092-255（フリーコール、携帯電話・PHS 含む）
電話受付時間：平日 10:00 ∼ 12:00、13:00 ∼ 17:00
http://www.cisco.com/jp/go/contactcenter/
0972-1405-01A-F