【導入事例】NTT 東日本関東病院さま～野良 PC・野良サーバーをなくそう～（Medigate）

2022/11/01

医療セキュリティセキュリティ対策導入事例

【導入事例】NTT 東日本関東病院さま～野良 PC・野良サーバーをなくそう～（Medigate）

SOMPO CYBER SECURITYでは、医療機関向けのサイバーリスクマネジメントサービス「Medigate」を提供しています。一般的な情報系ＩＴシステムと異なり、ライフサイクルも10 年以上と長く、ソフトウェアのアップデートが容易に実施できない医療機器ですが、そこに特化したソリューションです。患者情報を保持する医療機器も多く、一度攻撃を受ければ医療機器の可用性が損なわれ、ひいては患者の健康や生命といった安全面にも影響を及ぼしかねません。医療機器の管理とリスク評価に取り組むNTT東日本関東病院さまの取り組みを導入事例として紹介します。

左から　運営企画部情報システム担当課長吉中正史氏、運営企画部情報システム担当小嶋祐人氏

NTT東日本関東病院さまの導入事例
効果と今後の展望を含めた完全版はPDFで

変わる医療機器と医療現場
導入背景・課題
導入経緯・理由
導入効果と今後の展開・展望（PDF）

変わる医療機器と医療現場

近年、医療の高度化、医療現場の人手不足解消に向けたIT活用、医療機器のloT化などによるデジタル化の進展により、医療機関のサイバーリスクは増大しています。さらに、最近では新型コロナウイルス感染症拡大による影響でデジタル化に拍車をかける事態になっています。

現場では絶え間なく新しい機器やソフトウェアが導入されています。動的である環境において、インベントリを正確に把握し、何がどこにつながっているかを把握し、野良PCや野良サーバーを出さないということは非常に困難です。インベントリ管理ができて初めて着手できるのが、不正通信の検知や脆弱性管理であり、ネットワークの正しいセグメント化です。

「いたちごっこ」の解消

こうした課題を認識しつつも、日々の業務に追われ、なかなか最初の一歩を踏み出せない医療機関が多い中、NTT東日本関東病院では院内のネットワークに接続された医療機器と通信を可視化し、潜在的な脅威を検出することができるMedigateを2020年に導入しました。

何千という医療機器がネットワークにつながっていて、部門ごとに管理されている機器もあり、それら全てを把握して管理する情報システム担当者の苦労は計り知れません。既存の医療機器の動作に影響なく、リアルタイムで一元的に管理できる方法はないものか、というのは医療現場のITを統括する立場にある人の多くが思うことです。こうした思いを行動に起こすに至った経緯などをNTT東日本関東病院の運営企画部情報システム担当課長である吉中正史氏と情報システム担当小嶋祐人氏にうかがいました。

導入背景・課題

i. ここ10年ほどで医療現場を取り巻く環境の変化は？

吉中氏：非常に大きく変わったと感じています。

ネットワークに繋がる医療機器が増えていて、より複雑化してきていますし、院内だけではなく外部と繋がるクラウドサービスの利用も医療現場でどんどん増えてきています。数年前までは、医療現場とベンダーで直接話を進めて、情シスが詳細を知らないまま医療機器やその付属品としての野良PCやサーバーがどんどん増えていました。

ii. 前出の環境の変化による日々の業務への影響は？

吉中氏：私たち情シスは限られた要員の中でより良い病院運営や患者さんの治療のために安全性や利便性を追求しつつ、新しいシステムや医療機器を導入し、サービスを提供していかねばならず、医療機器の管理だけに没頭できるわけでもないのが現状です。管理対象が増えれば、必然的に業務が増え続けるという影響があります。さらには使わなくなった医療機器もあり、それら全体の医療機器を正確に掌握することは非常に困難ですし、多くの時間を要します。

iii. どのような苦労や課題がありましたか？

吉中氏：昨今のコロナ禍におけるオンライン利用拡大や医療現場におけるDX化の風潮によって、情シスの業務はさらに忙しさが増しました。DXは、従来の仕事の進め方に対して急激な変革時期に来ていると感じています。情シスにはDXとかオンラインを使った新たな仕組みの整備を進めて下さい、という依頼が急激に増えた１年でした。そんな中、我々の知らないところで新たな医療機器などが増殖しているかもしれない脅威もあり、機器構造が複雑化もしている。専門家にも入ってもらい、きちんと対応しなければいけないところですが、なかなかそこまで手が回らない、という課題が事の発端です。

今まで院内の医療系のシステムは、ネットワークが閉じた院内のイントラネット環境でしか運用していなかったのですが、やはり先ほどのDX化やオンライン何々というのも該当しますが、インターネットなどの外部と接続する必要性がより強くなってきました。

ただ、それを前提として考えた時、まずは院内がどういう状況なのか、全容を正確に把握する必要があり、その為に何が必要なのかというところを色々調査してきました。

まず自分たちの一番の課題は何なのか、そこを明確にする必要がありました。
「当院で置かれている機器の全容を正確に把握したい」
これが最優先課題でした。
つまり、OSは何が入っていて、どこのメーカーの、どの機器が何台あるのかということ。
もう１つは「外部への、外部からの不正な通信、不明な通信の管理」

どこと繋がっていて、外部へのバックドアが開いていたりしていないですよね、われわれの知らないところで現場とベンダーさんとを連絡するようなネットワーク回線というのが無いですよね、という確認です。この二つの課題を解決して初めて、外部との接続というオプションが現実味を帯びてくると思って、それに着目して色々な商材を探していました。

そこで、SOMPO CYBER SECURITYからMedigateをご紹介頂いたというのが経緯になります。

導入経緯・理由

小嶋氏：情報システム担当が導入したシステムはシステム情報に加え、扱っている情報ランクなど管理が出来ています。しかし、各部門で独自に導入したシステムというのは情報が共有しきれておらず、全てを把握するのには限界を感じていました。それでもヒアリングや、システム更改に伴った調査を行うことで接続されている台数などの把握に努めていまし
た。今回導入したMedigateから取得した機器数と我々が把握していた機器数に乖離が無く、まずは安心いたしました。

Medigateの実証実験当初は日本メーカーの医療機器の情報がデータベースに蓄積されていないことから、分類不可とされた機器が多く検出されました。しかし、イスラエルのエンジニアが来日し、情報を掘り下げて、機器の特定を行い、実証実験を無事終えることができました。

日本の機器への対応や、オンプレミスでの構築、日本語化に向けて動いてくださるなど、対応の柔軟さもあって、安心してお付き合いできるのではないかと思いました。

Medigateはシステムの構成上、エージェントレスで情報収集が可能なため、省力で実施でき、医療機器ベンダーとの調整が必要ないというのは利点だと思います。また、機器への影響・負荷を抑えることも非常に重要ですので、機器のリソースに負荷をかけない事や、導入による再起動等、既存機器への影響の心配が無いことも採用理由の一つだと思います。

吉中氏：（医療システムベンダーもですが）医療機器ベンダーは当院でも多数存在していて、数年前には医療系のネットワーク機器の全更改を行いましたが、それらのベンダーとの切替調整にかなりの手間がかかりました。関係するベンダーを全て呼んで、当然瞬断なり停止期間も伴うので、影響度の確認作業を行いました。ベンダー数が多くて大変でしたが、Medigateに関して言えば、そうした調整が不要というのは助かります。

我々にとって重要なことは、医療のシステムですので、無停止というのが前提です。

今回POCにしろ、本番への切り替えにしろ、無停止で導入できたというのも、非常に重要なポイントでした。しかも、エージェントレスで導入ができたというところも。エージェントレスで我々がやりたいことを全部賄えているので、そういう意味では24時間稼働している病院業務には非常にマッチして導入しやすかったと思っています。