導入事例 医療機関にとって喫緊の課題だった未知のマルウェア対策
POINT
- ディープラーニングの活用により未知のマルウェアの高精度な検知・防御を実現、現代の医療機関に求められる、より強固なセキュリティ環境を実現
- クラウドベースのサービス提供により、管理サーバの構築や管理が不要となり、セキュリティ運用負荷の抑制とコスト削減が可能に
西の京病院の概要
「一人ひとりの患者さまを一生涯かけて見守る」ことを基本理念に掲げ、急性期医療はもとより、予防から介護までを担う生涯医療拠点として、1986年の開設以来、奈良市西部における地域医療の一翼を担い続ける医療法人 康仁会 西の京病院(以降、西の京病院)。病院長を務める吉岡伸夫氏は、「当院は、重症患者に対する救急医療や高度医療に対応する "断らない病院"、および医療、介護、介護予防等を包括的に提供する "面倒見のいい病院" の両方に対応できる総合医療施設を目指し、様々な取り組みを進めてきました」と語る。
後遺症や歩行障害等が残った患者がリハビリに専念することを支援する「医療型療養病棟」の拡充をはじめ、最新のPET CTを導入し、専門性の高い医療・検診を展開する「総合健診センター」や、リハビリ、看護、介護を中心としたケアを提供する「介護老人保健施設」の併設はその一例だ。「一方で、奈良県下で最大規模の透析センターをはじめ、苦痛のない内視鏡検査室、低侵襲治療に力を入れている脊椎人工関節センターや心臓血管カテーテル室、下肢静脈瘤手術件数が国内トップクラスの血管外科センターなど機能を絞った専門病院として、より高度な医療の提供にも注力しています」(吉岡氏)
同病院は、ディープラーニング(深層学習)を活用した「予測モデル」により、未知のマルウェアも検知・防御可能な次世代アンチウイルス製品「Deep Instinct」を導入。医療機関にとっても喫緊の課題であるセキュリティの強化を、コストを抑制しながら実現している。
多発する医療機関へのサイバー攻撃
シグネチャベースのマルウェア対策に見え始めた限界
近年、医療機関では、電子カルテシステムをはじめ、オンラインによる診療や面会、資格確認のほか、スマートデバイスを利用した問診入力や音声入力などIT活用が急速に拡大している。その一方で、サイバー攻撃の猛威は医療機関にも及んでおり、院内のサーバやPCがマルウェアに感染したことで、電子カルテのほか、すべてのシステムが停止。受付や診療、会計に至るあらゆる業務が行えなくなり数億円の被害が出たといった報道も耳目にすることが増えてきた。
そうしたことから、医療機関におけるセキュリティ対策の強化は喫緊の課題であり、西の京病院もアンチウイルスソフトの導入に加え、デバイス制御やログ監視システム、UTM(統合脅威管理機器)を導入し、マルウェア感染やサイバー攻撃に備えてきた。
しかし、近年、ランサムウェアなど、攻撃の手口がはますます高度化しており、感染時の被害も甚大化している。情報システム課 主任の前田 優二氏は、「エンドポイントセキュリティを考えるにあたり、いまや既存のシグネチャベースによるパターンマッチング方式では、未知のマルウェアを検知できないという不安を抱えており、より高度なウイルス対策製品の導入が急務となっていました」と説明する。
エンドポイントセキュリティの強化を検討する中で、主要エンドポイントセキュリティ7製品を検討、EDR(Endpoint Detection and Response)の導入も候補の1つに挙げられた。しかし、「EDRはマルウェア感染後の対処や原因究明等、いわば ”事後対応” を主としたもので、運用にも高度なノウハウが求められるケースが少なくありません。運用負荷を増やすことなく、かつ、確実にマルウェア対策を実現していくには、入口のところでマルウェアを遮断し感染を未然に防ぐソリューションが必要と考えていたのです」と前田氏は話す。
ディープラーニングの活用で、マルウェア感染の
事前防御を可能とするDeep Instinctを採用
そうした西の京病院が掲げる要件を満たす製品として選ばれたのが、サイバネットシステム株式会社(以降、サイバネット)が販売する「Deep Instinct」だった。Deep Instinctは、AIにおいて最も先進的な手法であるディープラーニング(深層学習)を予測モデルに採用し、既知・未知を問わず、あらゆるサイバー攻撃を検知、遮断する次世代アンチウイルス製品だ。「近年では機械学習を組み込んだマルウェア対策製品も登場していますが、Deep Instinctはさらにその上を行くディープラーニングを活用したアンチウイルス製品であり、これであれば、未知のマルウェアの遮断も含めたより高度なセキュリティ対策が実現できると期待しました」と前田氏は振り返る。
その実力を試すために西の京病院はPoC(Proof of Concept:概念実証)を実施するが、当初は別のシステムインテグレーターからDeep Instinctを提案されていたという。「しかし、技術力や対応・サポート面に不安を感じる場面が少なくありませんでした」と前田氏は語る。そこで、再度、Deep Instinctを取り扱うシステムインテグレーターを探す中で、出会ったのがサイバネットだった。
「サイバネットはこれまで西の京病院で利用していたアンチウイルスソフト及び、デバイス制御やログ監視として利用しているIT資産管理ツール「SKYSEA Client View」を取り扱っていることもあり、Deep Instinctへの移行方法や除外フォルダ設定などを熟知されていました。またサイバネット内にDeep Instinctに詳しい方も数名いたり、Deep Instinctの詳細な操作マニュアルも用意されていましたので、これであれば運用開始後も十分なサポートを提供してもらえると期待しました」(前田氏)
こうしてサイバネットのサポートのもと、Deep Instinctの検知性能について、再度PoCを実施。EICARテストファイル(EICAR StandardAnti Virus Test)等を用いた検証を行ったところ、当初の想定通り、十分満足のゆく検知結果が得られたことから本番採用を決定する。
強固なセキュリティに加え、運用負荷・コスト削減も達成、
サイバネットの手厚い導入・運用支援も評価ポイント
2022年3月より運用が開始されたDeep Instinctだが、現在、300ライセンスを導入、院内PCのセキュリティ強化を果たしている。Deep Instinct導入の最大の効果は、従来のアンチウイルスソフトでは防げなかった未知のマルウェアをはじめ、ファイルレス攻撃やシェルコードインジェクション攻撃に対しても防御可能となったことだが、運用負荷やコスト削減にも貢献しているという。
「以前のアンチウイルスソフトはオンプレミスに管理サーバを構築しており、バージョンアップ時には煩雑な作業が発生していました。しかし、Deep Instinctはクラウドサービスとして提供されているため、私たちがサーバを設置したり管理したりする必要がありませんし、バージョンアップもネットワークの負荷を考慮して自動で行ってくれます。また、アンチウイルスソフトのライセンス費用と、数年に一度行われるハードウェアの更新費用を含めて比較した場合、大幅なコスト削減も実現できています」(前田氏)
このほか、Deep Instinctのエージェントは動作が軽いため、アンチウイルスソフトの利用時に比べてPCの負荷が軽減されPC動作が体感的に速くなったことも導入メリットだという。
西の京病院は、PoCを経た後の導入、そして本番運用開始以後、現在に至るまで様々な場面で提供されているサイバネットのサポートを高く評価している。例えば、クライアントへのDeep Instinctのエージェント展開には、SKYSEA Client Viewのソフトウェア配布機能が利用されたが、サイバネットは長年にわたる取り扱いから多くの知見を有しており、Deep Instinctのエージェントをスムーズに配布するための方法を西の京病院に提供している。
「また、運用開始後数ヶ月はPowerShellやActive Scriptで過剰検知することもありましたが、その都度サイバネットのサポートデスクに調査依頼して、常に適切な回答を受けられるのでとても助かっています」(前田氏)
今後の展望
Deep Instinctの導入により、事前防御を主軸とした強固なエンドポイントセキュリティを実現した西の京病院。前田氏は「現在はWindows PCをメインにDeep Instinctを導入していますが、今後、院内にあるMac端末についても広げていきたいと考えています。同時にメモリ常駐型の攻撃のブロックなど、Deep Instinctによる保護範囲も拡大し、さらなるエンドポイントセキュリティの強化を図っていく計画です。その際には、引き続き、サイバネットの手厚いサポートを期待しています」と今後の展望と、サイバネットに対する期待を語る。
最後に、前田氏はセキュリティ対策の実施について様々な悩みを抱える医療機関の担当者に向け、次のようにアドバイスを寄せてくれた。「中小規模の医療機関ではシステム部門がなく、ITに詳しい放射線科や事務員の方々が兼任されているケースも少なからずあるかと思います。したがって、セキュリティを強化したくても、手が回らないことも少なくないでしょう。対してサイバー攻撃の高度化・巧妙化が進む中でDeep Instinctはディープラーニングによる高度な予防能力や振る舞い検知機能により、ランサムウェア等の未知のウイルスをブロックしてくれるという安心感があり、また管理サーバの構築や維持・管理の必要もなく、他社製品に比べて費用も安価に導入が可能です。次世代の強固なエンドポイントセキュリティを考えている のであれば、是非、お勧めしたいソリューションです」(前田氏)
医療法人 康仁会 西の京病院:https://www.nishinokyo.or.jp/
