Skip to content

導入事例:福井大学医学部附属病院

医療端末、個人所有デバイスなどを脅威から守るため
ネットワーク経由のセキュリティ対策でリスクを可視化


プライベートクラウドの構築により病院情報システムの最適化を目指す

1983年に開院した福井大学医学部附属病院(以下、福井大学病院)。開院以来、「最高・最新の医療を安心と信頼の下で」を基本理念に、専門的かつ高度な医療サービスを提供している。現在は25の診療科、4つの中央診療施設、12の特定診療施設を設置する、福井県内唯一の特定機能病院として地域に貢献。一般医療機関では難しい高度な先進医療を提供し、住民の健康を支えている。
こうした医療サービスを支える基盤として、同病院はITを積極的に活用している。従来からのレセプトシステムやオーダーエントリシステム、検査系システムに加え、電子カルテや画像系のシステム、各部門システムなどを次々に導入し、医療サービスの高度化を推進してきた。さらに最近では、病院情報システムの「クラウド化」にも着手。仮想化技術をベースとしたプライベートクラウドを構築し、電子カルテシステム、部門システムなどを集約しただけでなく、院内のクライアント端末のシンクライアント化も行い、病院情報システム(HIS)全体の最適化を進めている(図1)。

図1 新総合医療システムの概要

「新総合医療システム」と名付けたこのシステムは、2011年4月から本格稼働を開始。同病院に様々なメリットをもたらした。まず挙げられるのが、運用管理負荷やコストの削減効果だ。

クラウド化によって敷地内に散在していたサーバは1カ所に集約され、運用管理の一元化が実現。「約35台あった物理サーバは3枚のブレードサーバに集約。さらに、約1000台のシンクライアント端末も予備を含めてわずか16枚のブレードサーバ上で稼働しています」と同病院の山下 芳範氏は説明する。

次いで挙げられるのがITリソースの有効活用だ。
メモリやCPUなど、サーバの各種リソースを状況に応じて各システムに柔軟に割り当てることが可能になった上、端末を選ばず各種システムを利用できるようになったのだ。「従来は業務ごとに固有の端末を使わなければなりませんでした。しかし、プライベートクラウド化によってITインフラを標準化した結果、職員は端末に依存せず業務を行うことが可能になったのです。また、空いたメモリやCPUを高負荷な処理へ割り当てられることで、端末使用時の操作感も従来より高速化。タブレット端末やスマートフォンなど、PCに比べて非力なデバイスも医療用端末として活用できるようになりました」と山下氏は述べる。

医療現場のIT活用が進むにつれ新しい観点でのセキュリティが必要に

このように福井大学病院は、先進的なプライベートクラウドを構築し、より高度な医療サービスを提供できる体制を整備した。だが、システムが大きく様変わりしたため、「セキュリティ」に関しては、新たな対策をとる必要に迫られていた。
同病院が抱えていたセキュリティ上の課題は大きく3つ。
1つめは、病院で用いられる機器・システム特有の課題だ。検査機器に組み込まれた制御用システムや、機器に付属するワークステーションなどは、薬事法による医療機器承認を受けていると、WindowsOSで動作するシステムであってもウイルス対策ソフトなどをインストールすることができない。「今や医療機器は院内ネットワークに接続して運用することが当たり前の時代。インターネットにこそ接続しない『閉域網』での利用ですが、それによって安全が担保されるわけではありません。なぜなら、最近ではUSBメモリなどのリムーバブルメディアを介してシステムに侵入するマルウェアなど、インターネットを経由しない脅威による感染被害が拡大しているからです」と山下氏。実際、端末の不具合の原因が持ち込んだUSBメモリによるウイルス感染だったこともあるという。つまり、ウイルス対策ソフトを用いずとも、医療現場の端末を保護できる対策が必要となっていたのだ。
2つめは、個人が持ち込む端末からのウイルス被害をいかに防止するかという問題だ。
新総合医療システムでは、専用PC以外に、職員が使っているPCやタブレット端末などの各種デバイスも業務に利用することを認めている。いわゆる「BYOD(Bring Your Own Device)」だ。個人が使い慣れたMacやダブレット端末などを活用することで、職員にとっては利便性の向上、同病院にとっては端末導入コストの削減といったメリットが得られる。
「しかし、個人の端末にウイルス対策ソフトを病院が提供するわけにも行かないため、セキュリティ管理は所有者に一任するしかありませんでした」と山下氏は打ち明ける。
そして3つめが、職員のセキュリティ意識には差があるため、対策をとるよう促してもなかなか徹底することが難しいことだ。
持ち込みデバイスはもちろん、各医療部門に管理を任せている機器についても、セキュリティリスクを発見した場合には、医療情報部がアラートを上げ、対応を促している。「しかし、すぐに対応してくれる人もいれば、そうでない人もいます。万全なセキュリティ対策を講じることはもちろん、各職員にセキュリティ対策を促すための方法も模索していました」(山下氏)。
こうした点をふまえて、同病院はセキュリティソリューションの導入検討を開始。「ネットワーク接続された医療機器関連の端末、持ち込みデバイスといった多様な機器が混在する環境を統合的に監視し、早期に異常を発見できること。さらには、存在しているリスクを可視化し、利用者に危険性をアピールする裏付けにできることを要件に掲げ、ソリューションの選定を進めました」と山下氏は話す。

インシデントの発生を速やかに検知 問題の拡大や深刻化を未然に防ぐ

複数のソリューションを比較・検討した末、福井大学病院が導入を決めたのがトレンドマイクロのネットワークセキュリティ監視ソリューション「Trend Micro Threat Management Solution」(以下、TMS)だ(図2)。「決め手となったのは、これまでとは異なる、新しい視点の対策が行える点でした。具体的には、内部ネットワークのトラフィックを監視することで脅威を早期に発見し、問題の拡大や深刻化を防止できる点が当病院の抱える課題に有効だと感じたのです」と山下氏は話す。

図2 福井大学医学部附属病院におけるネットワーク監視の仕組み

まずTMSは、ウイルス対策ソフトがインストールできない端末、個人所有の端末からのウイルス感染被害を防止することが可能。具体的には、様々な端末を監視し、脅威が潜んでいないかどうかを検知・検出。早急に対策を打つことができるのだ。USBメモリからの感染など、ファイアウォールなどでは対応が難しい脅威も監視可能だ。
また、リスクを可視化し、利用者にセキュリティ対策の重要性を伝えるという点では、TMSがシステムのログを分析し、定期的に提出するレポートに注目した。「当病院では、これまでもエンドポイント、ゲートウェイ、サーバといった各ポイントにトレンドマイクロのセキュリティ製品を採用してきました。ですから、トレンドマイクロの名前は院内にも知れ渡っています。そうした中、問題点が分かりやすく可視化されたTMSのレポートを用いれば、トレンドマイクロの指摘という意識が働き、職員のセキュリティ意識の刷新に効果的だと考えたのです」と山下氏は振り返る。
加えて、TMSの導入形態に関してもメリットを感じたという。
TMSは、仮想サーバにインストールできるソフトウエアアプライアンス版を用いることで、仮想化環境内だけで運用を完結することができる。これにより、同病院が推し進めるクラウド化の流れに逆行することなく、システム全体のセキュリティを担保することができると考えたのだ。「これは、特に私たち管理側のスタッフにとって大きなメリットでした。TMSは、当院の課題をトータルに解消する、ベストな選択だったと考えています」と山下氏は強調する(図3)。

図3 TMSの導入メリット

仮想化システムの「安心」を守る先進のソリューションを期待

今後、同病院ではTMSのソフトウエアアプライアンス版のメリットをフルに生かし、適用範囲のスケールアウトも予定している。具体的には、現在は病院情報システムのみに展開しているTMSを、今後は患者用、Wi-Fi、事務・医学部系など、他のネットワークセグメントへも展開していくことを検討しているという。
またTMSだけでなく、その他のソリューションを活用したセキュリティ対策の強化も積極的に進めていく構えだ。その一環として準備を進めているのが、今後さらに普及が予想されるスマートフォンなど、モバイル端末のセキュリティ対策の強化である。
具体的には、トレンドマイクロの「Trend Micro Mobile Security」を導入し、持ち込みデバイスを含むすべてのモバイル端末に適用。常に最新のパターンファイルを適用することで不正プログラムを速やかに検知するとともに、端末のセキュリティ管理の状態を担当者が一元管理できる仕組みを構築しようとしている。「モバイル端末の安全性が確保できれば、様々な可能性が広がります。例えば、看護師が1人1台ずつスマートフォンを携帯し、どこでも電子カルテ端末としてカルテやオーダーの確認、記入ができるようになるばかりか、IP電話でナースコールが受けられるようにする仕組みも可能になります」と山下氏は言う。また、脅威が検出された医療機器や持ち込みの Windows PCに対する一次対応としては「Trend Micro Portable Security」の準備を進めている。
さらにプライベートクラウド基盤のセキュリティに関しても、現在の「ウイルスバスター コーポレートエディション」から、仮想化環境/物理環境の統合的な保護を実現する「Trend Micro Deep Security」へのリプレースを予定している。
今後、同病院では、構築したプライベートクラウドの上に、さらに多様なシステムを移行していく考えだ。「『全システム完全仮想化』を目指しています。そうした取り組みを推進する上でも、トレンドマイクロにはしっかりとしたバックアップを期待しています」と山下氏は最後に語った。

福井大学病院がシステム仮想化と同時に新設したサーバルーム。冷凍貨物用のコンテナを再利用しているため、温度変化に強く、緊急時には移動も可能だという。これにより、それまで敷地内に散在していたサーバ群を集約し、管理負荷を大幅に軽減した。

【導入先プロフィール】

名称 福井大学医学部附属病院
所在地 〒910-1193 福井県吉田郡永平寺町松岡下合月23-3
設立 1983年10月1日
職員数 929名(医学部職員含む、2011年5月1日現在)
概要 内科部門、外科部門、感覚・皮膚・運動部門、成育・女性医療部門、脳・神経・精神部門などに25診療科を設置。福井県内で唯一の特定機能病院として先進的医療を推進している
URL

http://www.hosp.u-fukui.ac.jp/

福井大学医学部附属病院 導入事例4ページ(PDF:2,770KB)

[英文]福井大学医学部附属病院 導入事例ページ4ページ(PDF:2,547KB)

※ 記載内容は2012年5月現在のものです。内容は予告なく変更される場合があります。