長野赤十字病院

医療機関に求められる高いセキュリティを “防御技術” と “セキュリティ教育” の両面で追求

長野市周辺の中核病院として機能してきた長野赤十字病院では、既存のセキュリティを底上げし、標的型攻撃対策を強化すべく、ウォッチガードの統合セキュリティアプライアンスを導入した。事前の評価導入によって性能はもちろん、病院を取り巻く脅威の現状を把握できたことが、大きな安心につながっている。

1904年の創立以来、長野市を中心に地域の中核病院として機能してきた長野赤十字病院は、「人道、博愛、奉仕」の赤十字精神に則り医療活動を実践している。680床を誇る総合病院として、さらには救急外来や災害救護、地域がん診療連携や周産期母子医療の中核拠点として活動してきた。

長野赤十字病院は、いちはやく院内外の医療システムのIT化に取り組んできた。2000年ころから院内イントラネットの整備を開始し、2010年には電子カルテシステムを導入するなど医療業務のIT化を進め、働く医師や看護師ら、約1300名の業務を支えてきた。

デジタルコミュニケーションの増加にともない高まるリスク

こうした環境の変化に伴って、かつてはFAXや文書が中心だった情報収集や院外とのコミュニケーションが、電子メールをはじめとするインターネットでのやり取りに変わってきたという。だが、デジタルの比重が増えれば増えるほど、外部からの脅威がもたらすリスクは増大する。その中でいかに安心して医療業務を進められる環境を整えるかが、長野赤十字病院のITシステムを支える医療情報課の課題となっていた。

長野赤十字病院 事務部 医療情報課長の藤本尚之氏は、「医療機関は患者の病歴や身体に関わる情報など、個人情報に加えプライバシー情報も取り扱っているため、外部の攻撃から狙われやすい存在です」と述べる。こうした個人情報を扱う重みを踏まえ、同病院では医師や技師、看護師など関係者に対するセキュリティ教育を繰り返し実施するとともに、ファイアウォールやIDS/IPS、エンドポイントヘの対策ソフト導入といったー通りのセキュリティ対策を実施してきた。

「それでもやはり、標的型攻撃への懸念がありました。われわれはセキュリティ教育に力を入れてきましたが、標的型攻撃はさまざまな手口を用い、人の意識や善意につけ込んでくるため、『ヒヤリハット』は避けられません。教育を補い、リスクの高い攻撃から保護する技術が必要だと考えました」と、長野赤十字病院 医療情報課 システム管理係長 医療情報技師 松浦達也氏は振り返る。
折しも、海外の医療機関をターゲットにしたランサムウェアによる被害が報じられた上、日本赤十字社全体としてセキュリティ対策の底上げを図る方針もあり、長野赤十字病院ではウォッチガードの統合セキュリティアプライアンス「WatchGuard Firebox M500」を導入。

スパムメール対策の「spamBlocker」を活用して不審なメールを排除し、標的型攻撃のリスクを減らしている。

長野赤十字病院 事務部 医療情報課長 藤本尚之氏（左）
システム管理係長 医療情報技師 松浦達也氏（右）

技術的な成果だけでなく、脅威を数字で「見える化」できた評価導入

長野赤十字病院では2016年11月ころから、複数の統合セキュリティ機器の検討を開始したが、1つの大きな課題があった。医師らが医療論文や治験情報などを活発にやり取りしているため、通常の企業よりもはるかに大量のメールトラフィックを処理する必要があったのだ。当初評価した他社アプライアンス製品では、処理しきれないメールが蓄積され、処理の遅延とパフォーマンスの悪化など、業務に支障を来す事が判明した。

この結果に頭を悩ませていたところに提案されたのが、WatchGuard Firebox M500だった。提案元のリコージャパン 販売事業本部 宮川氏は、展示会でウォッチガード製品を知り、他社製品との徹底的な性能比較と機能の調査を実施した結果、満を持してウォッチガード製品の評価導入によるリベンジの機会を依頼した。リコージャパン長野支社の尽力もあり、2週間に渡って同型機を用いて実環境で検証を行い、以前に処理の遅延が発生していた処理が、M500では、まったく問題なく運用できる事を確認したという。

「一から新たにシステムを作るならともかく、既に動いている環境の中に追加するとなると、やはり検証作業は不可欠です。デモを見せてくれる企業は多いが、実機でトライアルできるケースはあまりないため助かりました」（松浦氏）。
アメリカ赤十字社のほか、国内の自治体などでの豊富な導入実績があったことも安心材料の一つになったという。

もともとはパフォーマンスなど技術的な検証を目的に実施したトライアルだが、ビジネス的にも大きな成果をもたらした。WatchGuard Firebox M500のレポート機能であるWatchGuard Dimensionにより、評価期間中に、長野赤十字病院に対してどのくらい攻撃があったかを把握できたからだ。

「セキュリティというものは目に見えません。漠然と『こんなリスクがあって、これくらいの被害が生じます』と説明しても上層部に理解してもらうのはなかなか難しかったのですが、評価運用後に提供されたWatch­Guard Dimension によるレポートを見れば、病院にどれほど多くの攻撃や不審なメールが来ているかが一目瞭然で、今現在どのような状況にあるのか理解してもらう大きな材料になりました」（松浦氏）。

藤本氏はさらに「短い期間でこれだけの攻撃があると数字で示せたことで、その後のセキュリティ投資への説明に苦労せずにすむようになりました」と付け加えた。レポート機能の分かりやすさもポイントの1つで、「脅威分析がスピーディで、しかも専門的過ぎない説明のため、とても分かりやすいため、そのままグループウェアに張り付けて院内の注意喚起などに活用しています」（松浦氏）

さらに、初期導入費用、運用コストが少なくてすむことも製品選定の決め手の1つだ。「同様の機能と性能の他社製品と比較しても非常に低コストで必要な要件をすべてクリアし、『本当にこの値段なの』と思うほどでした」（松浦氏）。

また、追加のハードウェアを用意することなく、1台で全ての機能を提供できることも大きな要因だ。現在、長野赤十字病院のITシステムの運用管理は、医療情報課の4〜5名で担っており、定常的にタスクは多い。

「新しいソリューションを導入しようとすると、とかく「新たにサーバを立ててください」などと言われることが多いが、それでは管理の手間が増える一方です。シンプルに運用管理ができるよう、単体のアプライアンスで運用できる環境を求めていました」（松浦氏）

サンドボックス機能などの追加など技術と教育の両輪でセキュリティ強化

こうして長野赤十字病院では、2017年3月からWatchGuard Firebox M500の運用を開始した。あらかじめ行っていた評価導入の成果もあり、滑り出しは上々で、これまで見えていなかった標的型攻撃メールを見える化し、食い止めることができている。

導入支援を提供したリコージャパン長野支社に対しても「それまでプリンタや電子カルテ関連のサポートや保守でお世話になっており、一連の対応を評価していましたが、ネットワークセキュリティという分野でも同様にサポートしていただき、助かりました」（松浦氏）という。

長野赤十字病院ではこれからも引き続き、セキュリティ対策を強化していく。「Total Security Suite」ライセンスの購入のみで、導入済みのWatchGuard Firebox M500をフルに活用できる。

ただ、「病院の従事するスタッフが1300人いれば、1300通りの使い方があります。現場との同意を得ながら、業務を妨げないように導入することが大切だと考えています」と松浦氏は述べる。というのも、一般的な企業ではNGと判断されるキーワードでも、医療研究の必要上アクセスしたり、検索せざるを得ないことがある。こうした個々の要望を汲み取りながら、最適な設定・運用を見出していきたいという。

藤本氏と松浦氏は、 セキュリティは技術だけで達成できるものではなく、最後に物を言うのは「人」だと口を揃える。それだけに長野赤十字病院では、セキュリティに関する教育・啓発には力を入れてきた。

「『知らない』『聞いてない』と言われるのは教える方の責任だと考え、繰り返し教育を実施していきたいと考えています」（松浦氏）

リハビリ技師や放射線技師など、職種や働き方それぞれに応じた集合研修を実施する他、付属の看護学校では、患者の個人情報の取り扱いをはじめとする情報リテラシー全般に関する研修を実施し、若年層だからこそ誤りがちなSNSの使い方などを指導している。こうして、さまざまな人が関わる医療現場のセキュリティレベルを、教育と技術の両輪で高めていく。IoT時代の到来も見据えると、「まだまだわれわれがやるべきことはたくさんあります」（藤本氏）。リコージャパンと協力しながら、安心・安全な医療環境の実現に取り組んでいくとの事です。

リコージャパン販売事業本部長野支社長野営業部
長野NS販売グループ 宮川悟氏（左）
長野LAグループアシスタントマネージャー 土屋良介氏（右）