岡山大学病院は、同病院が運用する医療情報ネットワークのセキュリティ強化と運用管理の効 率化を目的に、パロアルトネットワークスの次世代ファイアウォール「PA-3260」を導入し た。それまで利用してきたUTMアプライアンスは、レガシーな製品であったため、GUIにも十 分対応しておらず扱いにくいものであった。また、セキュリティインシデントの調査や対策の実 施にも手間がかかっていた。そうした課題を解決するために、岡山大学病院は病院情報管理シ ステムの更新に伴ってネットワーク/セキュリティ製品を一新。高スループットで運用しやす く、高度なセキュリティ対策を実現するPAシリーズを採用した。
概要情報
岡山大学病院は、国立大学法人岡山大学が設 置する大学付属の病院。その歴史は1870年(明 治3年)に設立された岡山藩医学館大病院から始 まり、2020年には創立150周年を迎えた。現在 は高度先端医療行為が必要な患者に対応できる 「特定機能病院」に指定されており、岡山県にお ける地域医療の中心的役割を果たしている。とり わけ先進医療の取り組みには定評があり、例えば ロボット手術の実施件数は、全国の国立大学病院 の中でトップクラスを誇るという。また、医師が画 像診断装置の映像を見ながら医療行為を行う IVR(Interventional Radiology)治療なども積 極的に推進し、実績を積み重ねている。
そんな岡山大学病院では、診療の精度向上と 効率化、迅速化を目的に2014年に病院情報管 理システムを導入した。それから数年の間に医療 情 報 処 理 業 務は量・質ともに急 速に増 大し、 2018年に次期病院情報管理システムへの刷新 を検討し始めたという。
「医療をとりまく環境の変化により、患者の満 足度を考慮した医療、科学的根拠に基づく医療の 提供が要求されるようになりました。岡山大学病 院では、医療サービスの充実や危機管理を含む 病院運営の改善を図りながら教育・研究に貢献す る新しい病院情報管理システムを構築すること にしました」(岡山大学病院 医療情報部 部長 郷 原英夫氏)
新しい病院情報管理システムを構築するにあ たり、課題となっていたのが、病院情報管理シス テムが稼働する医療情報ネットワークのセキュリ ティ強化だった。
「これまでのセキュリティ対策は、病院情報管理システムを構築した大手ベンダーが納入したUTMアプライアンスを利用していました。しかし、従来のUTMアプライアンスはセキュリティ状況が可視化されておらず、セキュリティインシデントが発生して原因究明や対策が必要になった際にも、手間と時間を要する問題がありました」(郷原氏)
このようなセキュリティの課題を解決するため に、岡山大学病院は新しい病院情報管理システ ムの構築に合わせ、医療情報ネットワークのセ キュリティ強化に取り組むことにした。セキュリ ティ状況を把握できない既存のUTMアプライア ンスはリプレースし、それに代わる新しいセキュリ ティ製品を探すことになった。複数のセキュリティ 製品を候補に挙げて比較検討を行った結果、岡 山大学病院が導入を決めたのが、パロアルトネッ トワークスの次世代ファイアウォール「PA-3260」 (以下、PAシリーズ)だった。
「比較検討では『高信頼、高スループット』、『高 い脅威検出能力』、『迅速な状況把握が行える運 用管理』、『岡山大学の学内LANなど外部ネット ワークとの接続・連携』などを重視して、各セキュ リティ製品を入念に評価しました。その結果、処 理能力や機能が優れていること、脅威への高い 対応能力を備えていること、豊富な導入実績が あることなどを総合的に判断し、パロアルトネット ワークスのPAシリーズを選定しました」(国立大 学法人岡山大学 技術専門員 大隅淑弘氏)
PAシリーズの採用を決めた岡山大学病院で は、2019年6月から本番稼働に向けた導入作業 を開始した。PAシリーズとともに、アンチウイル スや不正侵入防御などの機能を含む「Threat Prevention(TP)サービス」、PAシリーズと連 携して動作するクラウドサンドボックス環境の 「WildFire」、安全なWebアクセス環境を実現す る「URLフィルタリング」などのライセンスも導 入した。
導入作業では、岡山大学病院ならではの工夫 も行われている。
「例えば、外部ネットワークとの通信だけでなく 病院内部の通信も可視化するために、L3スイッ チポートのミラーリング設定を用いて監視するこ とにしました。また、ネットワークにつながる物理 回線(レイヤ1)に通る多数のVLANのうち、脅威 検知が必要なものだけを監視するように設定し ています。さらにリモートアクセスとして、PAシ リーズのVPN接続に多要素認証を取り入れまし た」(大隅氏)
岡山大学病院の医療情報ネットワークでPAシ リーズの運用を開始したのは、2019年10月の こと。運用開始からそれほど日数は経過していな いものの、さまざまな導入効果を実感していると いう。
「導入作業はスムーズに進み、運用開始後のパ フォーマンスにも問題はありません。当初にPA シリーズ上で動作するPAN-OSに修正アップ デートがあった他はトラブルもなく安定して稼働 しています。医療情報ネットワークのセキュリティ 機能を担うPAシリーズはネットワークの“要”で す。多くの場面で活用していること、高い脅威検 出能力を有していることが一番の導入効果です」 (大隅氏)
「PAシリーズの管理コンソールはグラフィカル なインターフェイスの分かりやすい画面で直感 的に操作できるため、セキュリティの運用性が格 段に向上しました。未知の脅威を含めたインシデ ントの検知率も上がり、脅威やトラフィックのログ 取得を分析・可視化して迅速かつ適切な対策が打 てるようになりました」(岡山大学病院 医療情報 部 助教 黄勇氏)
さらにVPNによる外部からの接続で安全性や 管理性が向上し、リモートアクセスのサービス性 も向上した。
「岡山大学病院では新型コロナウイルス感染 症の影響や、女性医師支援のためのテレワーク の準備を行っているが、この際にVPN経由で安 全にネットワークへ接続できたのも、PAシリーズ の大きな導入効果だと考えています」(郷原氏)
新しい病院情報管理システムが稼働する医療 情報ネットワークにPAシリーズを導入し、セキュ リティ強化という目的を達成した岡山大学病院だ が、今後さらに高度化することが予想されるシス テム基盤のセキュリティ対策にも、PAシリーズを 活用していきたいという。
「岡山大学病院ではこれから電子カルテシステ ムなどの更新を控えています。また今後は院内に ある各種医療機器を制御したり、患者が持ち帰っ て使用する医療器具などのセンサーデータを取 得・分析したりといったIoTシステムとネットワーク の連携も考えています。こうした新しいシステムを 導入する際のセキュリティ対策として、PAシリー ズが活躍するものと期待しています」(郷原氏)
病院の医療情報ネットワークをターゲットにし た標的型攻撃などのサイバー攻撃は、世界中で 頻発している。過去には電子カルテシステムがラ ンサムウェアに感染し、業務停止に追い込まれた 病院もある。今回の岡山大学病院の取り組みは、 そうした脅威に効果的に対抗するためにPAシ リーズの導入が有用であることを示す好例と言 えるだろう。