ケース スタディ
医療保険者・企業向け健康管理、健康相談・カウンセリング、書籍・定期刊行物出版など、健康・社会保障に関する情報発信事業を展開する法研は、全社ネットワークのセキュリティ強化を目的にパロアルトネットワークスの次世代ファイアウォール「PAシリーズ」をはじめとする各種セキュリティ製品を導入した。サイバー攻撃が高度化・巧妙化する中、従来の対策では脅威への対応能力が不十分だと認識した同社では、セキュリティ製品の全面的な見直しに着手。機能・性能に優れ、効率的な対策が可能なPAシリーズ採用を機に、サイバー攻撃のリスクを最小化する継続的な取り組みを開始したという。
概要情報
法研は、社会保障に関する情報発信事業を営む企業として1946年に設立され た。そこから事業領域を徐々に拡大し、健康・医療・社会保障・年金・介護・福祉など幅 広い分野を対象に情報サービスを70年以上にわたって提供してきた。現在は、エビ デンスに基づいた最新の健康・社会保障に関する情報を提供する事業者として、公 的機関・民間企業問わず、多くの顧客を獲得。データヘルス計画に対応した健康保 険組合・企業向けの各種健康管理サービスをはじめ、健康相談・カウンセリングサー ビス、健康・医療・介護・社会保障分野向けの書籍・定期刊行物の出版、レセプトの管 理・分析を効率化する「拡張版レセプト情報管理システム」などのITソリューション、 健康保険組合を中心とするホームページ運用の各事業を展開している。
そんな法研では、新聞やメディアで報道される企業の情報漏えいや、サイバー攻撃のニュースが頻発していることを受け、ネットワークセキュリティ・脅威対策を改めて見直すことにしたという。
「当社は数多くの健康・社会保障に関する情報を取り扱っている関係から、公的機関・民間企業からの求めに応じる形で、ネットワークのセキュリティ対策を改め て見直すことにしました。社内からも、これまでジュラルミンケースとトラックで物理的に運搬していたレセプトデータをネットワーク経由で転送できないかという要望が寄せられていました。これまで導入したセキュリティ製品を評価したところ高度化・巧妙化する現在の脅威に対応することは難しいことが分かり、より高機能かつ効率的に運用できるセキュリティ製品への入れ替えを検討することにしました」(法研 DX推進部 DX推進課長 宮本利明氏)
法研では2015年からセキュリティ対策の見直しに着手。複数のセキュリティ製品を挙げ、およそ3カ月かけて比較検討を行った結果、同社が選定したのがパロアルトネットワークスの次世代ファイアウォール「PA-3020」だった。
「最終的に候補をPAシリーズと他社製品の2つに絞り込み、2016年春に両方の製品を約1カ月間、試験導入して検証しました。製品の機能に大きな差異はなかったものの、他社製品は不正侵入防御やURLフィルタリングなどの機能を拡張した際にネットワークの通信速度が遅くなることが判明しました。それに対しPAシリーズでは、必要な機能を追加しても性能は低下しません。また、官公庁を含む豊富な導入実績があったことも決め手となり、PA-3020を導入することにしました」(宮本氏)
PAシリーズの導入を決めた法研では、パロアルトネットワークスが提供する「プロフェッショナルサービス」を採用。パロアルトネットワークスのコンサルタントによる導入支援を受け、およそ1カ月をかけて導入・設定作業を行った。PAシリーズでは、アンチウイルス、アンチスパイウェア、不正侵入防御機能などを含む脅威防御(THREAT PREVENTION)機能に加え、URLフィルタリングやクラウドマルウェア分析サービス「WILDFIRE」を有効にするなど、ほぼすべての機能を利用している。導入後にはプロフェッショナルサービスを利用し、セキュリティポリシーの策定や認証基盤(ACTIVE DIRECTORY)との連携によるユーザートラフィックの可視化も行った。
2018年3月には情報セキュリティの国際規格であるISO27001を取得するとともに、同規格に準拠したISMS(情報セキュリティマネジメントシステム)による運用管理・監査体制を確立。ここでもプロフェッショナルサービスの知見をフルに活用したという。
法研のセキュリティ強化に向けた取り組みはこれに留まらない。2019年10月には、拠点間・社外からのアクセスに利用するVPNのセキュリティを強化するために、社内端末およびモバイル端末に「GLOBALPROTECT」を展開。11月には、HTTPS通信の増加によりトラフィック制御が難しくなったことを受け、SSL復号化によるユーザートラフィックの可視化と悪意のあるトラフィックの遮断、合わせてセキュアなテレワーク環境を実現した。
2020年には、約4年にわたって利用していたPA-3020を「PA-3250」へリプレース。宮本氏によると、グループ各社のネットワーク統合を進める中、セッション数が不足してきたことがリプレースの大きな理由だという。同時期には、高度なセキュリティ対策のさらなる拡大を目指し、一部の業務(コールセンターシステムなど)で利用するシステムを対象にパロアルトネットワークスの仮想化ファイアウォール「VM-SERIES」を導入。L7制御による最適なセキュリティ設定で攻撃を遮断する仕組みを作り上げた。さらに2020年6月には、社内端末およびモバイル端末に次世代エンドポイントセキュリティ「CORTEX XDR」も導入している。
「セキュリティ強化の取り組みを事前に進めてきたおかげで、コロナ禍によるテレワークの実施もスムーズに行えました。しかしながら、従来エンドポイントに導入していたウイルス対策ソフトのライセンス終了という課題が顕在化したため、脅威への対応能力を高めるためにCORTEX XDRへとリプレースすることにしました」(宮本氏)
このように次世代ファイアウォールのPAシリーズをはじめ、パロアルトネットワークスの各種セキュリティ製品を導入した法研では、様々な導入効果が得られているという。脅威が侵入しようとしても迅速に検知・駆除できるようになったため、重大なインシデントは一度も発生していないそうだ。
「最大の導入効果は、『法研のネットワークは安全性が極めて高いセキュリティ対策によって守られている』ということをシンプルに解説できるようになったことです。また、各拠点におけるセキュリティの状況が可視化され、いわゆる“野良端末”を完全に排除できたことも大きな効果です」(宮本氏)
法研では現在、ネットワーク構成の全面的な見直しに取り組んでいる。2021年に入ってからは、ネットワークとセキュリティの運用負荷増大、業務ごとのセキュリティ要件の差異拡大といった課題を解決するために、ネットワーク構成を整理して特定トラフィックをVM-SERIESへ収容変更するといった取り組みも行った。このほか、一部業務のネットワークセグメントをPAシリーズ配下に移転したり、独立したネットワークを運用していた法研グループ傘下企業のネットワーク統合にも順次取り組んでいる最中だ。
「2021年は、3年ごとに更新審査が必要なISO27001認証を再取得する手続きがあります。当社のネットワークは今後も最新テクノロジーの導入検討を制限することなく、柔軟なDX思想の元、ISMSを運用していくとともに、安全性を第一に、効果的・効率的なセキュリティ対策に取り組んでいきます」(宮本氏)
健康・社会保障に関する機密性の高いデータを取り扱う法研のネットワークには、安全性・信頼性に優れた堅牢なセキュリティ対策が不可欠だ。法研では今後 も、パロアルトネットワークスのセキュリティ製品とプロフェッショナルサービスを活用しながら、より強固なセキュリティ対策の取り組みを進めていく方針だ。