Skip to content

導入事例:国立大学法人 金沢大学附属病院

閉域網のリスク、薬事法の制約などの課題を解決するため
ベンダーとの調整により院内のセキュリティレベル均質化を実現


医療機器のウイルス感染により診療業務への影響が発生

「医の心、慈しみの看護」を信条に、最新設備と洗練された医療技術を駆使した医療を提供する金沢大学附属病院。予防医学から高度先進医療まで幅広く対応した北陸有数の医療機関として、地域医療の発展に貢献している。
医療機関にとって、活動の基盤となる医療システムの安定運用は重要な課題だ。しかし、近年はそれを脅かす様々なリスクが登場している。その1つが、システムを構成する医療機器のウイルス感染である。
通常、病院や診療所の医療機器は、多くがインターネットに接続しない閉域網で利用されている。「そのため従来、それらの機器のウイルス感染リスクは低いと 考えていました。しかしある時、各部門で個別に導入したシステムから、他の部門の機器にウイルス感染が飛び火する被害が発生。調べたところ、それがUSB メモリ経由での侵入だったことが発覚したのです」と話すのは、同病院の長瀬 啓介氏。このように、近年は感染経路の多様化が進んでいる。
一般に、こうした被害を防ぐにはウイルス対策ソフトの導入が有効だ。しかし、インターネット未接続の機器の場合、ウイルスパターンファイルの自動更新ができない。
さらに、医療機器には特有の問題も存在する。それが薬事法の制約だ。「薬事法上、医療機器の承認を受けた機器に外部アプリケーションをインストールするこ とを、メーカーは『改造』と考えています。改造となれば、法に抵触してしまいます」と長瀬氏は説明する。また、薬事法上は医療機器に該当しないIT機器の 場合であっても、これらに外部アプリケーションをインストールすると、今度はベンダーの保証範囲外になってしまうこともある。「院内にIT機器は数あれ ど、ウイルス対策ソフトが適用できるものは一握りという状況でした」(長瀬氏)。
感染被害が起こればシステムを止めざるを得ず、医療サービス提供の機会損失が発生する。同時に、復旧・保守のための費用も必要になるだろう。「病院経営の観点からも、状況の改善は急務だったのです」と長瀬氏は振り返る。

「Client/Server Suite Premium」「Trend Micro Portable Security」の導入イメージ

ベンダーの許諾を取り付け 機器ごとに最適な対策を実施

そこで同病院は、「薬事法上、医療機器に該当しないもの」「医療機器に該当するもの」の2種類の機器それぞれについて、個別に対策を打つことにした。
 まず薬事法上、医療機器に該当しないIT機器には、納入元ベンダーから「外部アプリケーションのインストール」に関する許諾を取り付けるための調整を開 始。「Windowsベースの機器など物理的なインストールが可能なものについては、動作検証をベンダーに依頼。問題ないと“お墨付き”をもらったもの に、トレンドマイクロの総合セキュリティソリューション『Client/Server Suite Premium(C/S Suite Premium)』を導入することにしたのです」と同病院の山岡 紳介氏は説明する。
C/S Suite Premiumはウイルスバスター コーポレートエディションの主要な機能と、統合管理機能を提供するTrend Micro Control Managerアドバンスを併せたスイート製品。多様なリスクに包括的に対処することが可能だ。「検証の結果、インストール可能になった端末は約800 台。そのすべてに対して、C/S Suite Premiumを導入しました」と山岡氏は話す。
次に、薬事法上の医療機器に該当する機器に対しては、同病院はソフトウェアのインストールが不要なウイルス対策方法を模索した。
そこで同病院が選んだのが、USBメモリ型ウイルス検索・駆除ツール「Trend Micro Portable Security(TMPS)(※2)」だ。TMPSは、端末に新たなソフトウェアをインストールすることなく(※3)、ウイルスの検索・駆除を行える。また、イ ンターネットに接続した管理用端末でウイルスパターンファイルを更新することで、閉域網で運用される端末にも最新の対策が適用可能だ。「これにより、薬事 法に抵触することなく対策が打てると判断しました」(山岡氏)。

統合的な対策と管理が可能になりセキュリティレベル均質化を実現

こうして同病院は、機器の特性に応じた2製品を複合的に導入することで、抜け漏れのないセキュリティ管理体制を構築した。
C/S Suite Premiumの導入メリットについて、山岡氏は標準の統合管理ツール「Trend Micro Control Manager(TMCM)」を評価する。「主要部門と経営企画部に合計3台設置した管理サーバをTMCMで一元的に管理。各システム系統で検出されるリ スクの数と内容が一覧できるため、科・部門ごとに最適な対策が迅速に打てるようになりました」と山岡氏は言う。
また、C/S Suite Premiumは使用感に対する評価も高い。同病院の長原 三輝雄氏は「動作が軽く、非力な端末にも導入可能。また操作を阻害する挙動がないため、現場が導入前と同じ感覚で業務が行えることもメリットです 」と話す。なお、導入はトレンドマイクロのパートナーであるNECフィールディングがサポート。トラブルなく進んだことで費用も最小限に抑えられたそう だ。
一方のTMPSは全20本を導入。導入後のウイルスチェックでは1000件近くの不正プログラムが検出された機器もあったという。「幸い軽 微なものばかりでしたが、潜在的リスクが可視化でき、現場のセキュリティ意識向上に繋がったようです」と山岡氏は効果について話す。同病院では、システム 更新、端末間でファイルを移動した時などのタイミングで、医療機器のウイルスチェックを実施している。
また今回の導入と同時に、同病院では機器 の調達・管理ルールも改訂。これまでは、電子カルテなど病院全体のシステムに関わる機器は経営企画部が一元的に調達し、その他の機器は各診療科・医療部門 が個別に調達していた。それを今回、機器の調達時には必ず経営企画部を通すよう変更した。「稼働前のウイルスチェックを実施し、病院全体のセキュリティレ ベル均質化を図る狙いです」(山岡氏)。
今後も、同病院は医療の安心・安全を守るための取り組みを続けていく構えだ。「一般企業と異なり、病院 は各部門が自律的に物事を判断する組織体です。しかし一方では、セキュリティのように、全体が同じポリシーで対応すべき問題があることも事実。そのバラン スを見極めながら、より高度な医療体制を構築していきたい」と最後に長瀬氏は語った。

※1 ウイルスバスター コーポレートエディションに統合管理や脆弱性対策、モバイルセキュリティ、VDI環境における最適化の機能などを加えた最上位のスイート製品。
※2 TMPSは、管理用端末のウイルス検索は行わない。
※3 ウイルス検索時に一時的に検索対象端末にドライバおよびローカルHDDにファイルを作成するが、検索終了後、検索対象端末に当該ドライバおよびファイルは残らない。

【導入先プロフィール】

名称 国立大学法人 金沢大学附属病院
所在地 〒920-8641 石川県金沢市宝町13-1
設立 1862年
職員数 1704人(他、病院兼務の教員73人)
概要 内科、外科、小児科、泌尿器科、眼科、耳鼻咽喉科、産科婦人科、放射線科など31診療科による総合的な医療サービスを提供。大学と連携した研究・教育活動も展開し、次代を担う優れた医療人の育成に努める
URL http://web.hosp.kanazawa-u.ac.jp/

国立大学法人 金沢大学附属病院 導入事例2ページ(PDF:1,660KB)

[英文]金沢大学附属病院 導入事例ページ2ページ(PDF:1,503KB)

[NECフィールディング編]金沢大学附属病院 導入事例2ページ(PDF:1,668KB)

※ 記載内容は2012年5月現在のものです。内容は予告なく変更される場合があります。