医療情報システムのベンダーとしての責任
より確かなセキュリティ向上を、社内に大きな負担をかけることなく短期間で実現

自由民主党政務調査会が提言した「医療DX令和ビジョン2030」。医療の効率化や情報共有の改善を目指し、情報プラットフォームの創設や、電子カルテの100％普及などが盛り込まれている。一方で、病院規模の大小を問わず重大なランサムウェア被害が発生するなど、医療業界でもサイバー攻撃は身近なものと実感せざるを得ない状況だ。厚生労働省からは「医療情報システムの安全管理に関するガイドライン第6.0版」も現在リリースされている。電子カルテを中核とする医療情報システムのSIベンダーである株式会社テクトロンでは、マネージドサービス型XDRソリューション「ESET PROTECT MDR」へと移行することで防御力にくわえ、専門知識や担当者の不足を補完して有事の対応力を大きく高めた。

近年、医療機関に対しても激しさを増しているサイバー攻撃。病院向け情報システムを扱う当社には、これに対応する責任があります。まずは、お客さまのセキュリティ対策におけるコンサルティング。そして、当社自体がサイバー攻撃を受け、それが原因でお客さまにご迷惑をかけないこと。大阪のある救急医療センターで起きた事件では、センターの情報システムとつながる給食事業者のシステムからランサムウェアが侵入しています。当社ではリモートによるサポートのため、当社のシステムとお客さまのシステムとをつなぐケースがあり、この給食事業者のように、当社が感染ルートとなる可能性があるわけです。よって、当社自体のセキュリティのレベルアップが必要だと考えていました（大橋さま）

当社では、インターネットのゲートウェイ対策を図るとともに、端末における対策としてアンチウイルスソフトを導入してきました。しかし、あるシンクタンクの情報セキュリティに関するレポートを拝見し、EPP（Endpoint Protection Platform）だけでは不十分であること、そしてEDRというソリューションで防御力をより高められることが分かりました。そこで「侵入・感染を防ぐだけでなく、侵入・感染したときの対策も考える」というゼロトラスト思考への意識転換が必要だと思い、新たな体制づくりに取りかかることに。ただ当社は大企業ではないので、数多くのアラートに対し24時間365日で対応できる人員配置が困難です。そのため、運用をアウトソーシングできるMDRが現実的との方針が定まり、プロジェクトチームを設けて長浜を中心に導入検討がスタートしました（大橋さま）

プロジェクトでは、はじめにセキュリティにおける社内ガイドラインの再整備に取り組みました。例えば、情報の持ち出しやテレワークに関するルールの制定などです。その後、MDR導入に着手。使ってきたアンチウイルスソフトがESETでしたので、まずはESET PROTECT MDRについてキヤノンマーケティングジャパン（以下キヤノンMJ）へ問い合わせてみることにしました。すると、使用中のESETの契約が残り2ヶ月ほどであることがわかり、新規システムの導入を1ヶ月あまりで検討しなければならない状況に。とはいえ、焦って性能の低いシステムを選定しては意味がありません。いくつかのシステムを比較検討し、コスト面でも条件に見合う2製品に絞り込みました。ESET PROTECT MDRも、その1つです（長浜さま）

ESETは長く利用してきた経験から、心配は全くありませんでした。前回もその高い機能性を評価しESETを選んだと、当時の選定者に確認しました。また、第三機関の評価なども参考にしています。こうして、信頼性で間違いないとの判断から、今回もESETにすべきではないかという話になりました。もっとも評価したのは誤検知が少ない点です。MDRの導入で懸念していたことが、検知対応に手を取られ通常業務が止まってしまうことでした。誤検知への対応に、多くの人員を割くわけにはいきません（長浜さま）
検知精度を上げるだけでなく、脅威を評価して的確に対処できる知見が必要です。しかし多くの中小企業が、セキュリティに関する高いノウハウを持つ専門人材の採用・育成に苦労しています。当社でも同様ですが、これに経営レベルで取り組んではおり、採用活動、さらには運用管理者の能力開発を進めています。とはいえ、すぐに人材を確保・育成できるわけではありません。育成までの安全・安心に、ESET PROTECT MDRは非常に有効です。脅威に対する高度なノウハウや、インシデント対応の仕組み、24時間365日の体制といった総合的な対応力が、私の最終的な判断につながりました。その信頼に対するコストとして、ESET PROTECT MDRは納得感ある価格だと思います（大橋さま）

こうしてESET PROTECT MDRに決めたものの、やはり短期間での導入は難しいミッションです。この点でもESETには利点があり、同じESETシリーズでの入替でしたのでMDR版への移行は比較的手間がかからずスムーズでした。とはいえ実際は、既存の契約切れまでに導入が間に合わなかったのですが、ライセンスを少し延長する柔軟な取り計らいをいただき、無防御の期間なく無事に移行することができました（長浜さま）

導入から2ヶ月、管理者は自分を含めて富士本社と東京本社に2名ずつおり、それぞれ別の業務があってセキュリティ専任ではないのですが、無理なく運用しています。日々レポートは上がってきますが、全てを理解できるほどの知識はありません。そのため、基本的にはESETのセキュリティエンジニアにお任せで、何かあった場合には我々もすぐに動けるようにしています（長浜さま）
導入後、社内の様子や社員の気持ちに何か変化があるかといえば、何もありません。つまり問題も起きないから、変わらず安心して業務を続けられている。ほとんどの社員は詳しいことは知りませんので、導入してよかったと強く感じているのは、きっと経営陣でしょう。セキュリティの強度がかなり上がったと思いますので、得たものはやはり安心感です。社長とは「少し枕を高くして寝られますね」と話しました（大橋さま）

病院の情報システムは、大きく「医事、電子カルテ」系システムと、通常の「業務、事務処理」系システムの2つに分類できます。先程述べた大阪の救急医療センターで起きたランサムウェア被害の原因は、医事系システムのサイバー攻撃対策が境界防御に依存しており、院内のネットワーク・セキュリティ対策が手薄であったことと報告されています。前者医事系スステムでは、そのシステムで動作保証されたセキュリティソフトの必要があり、ESETシリーズをすぐにお薦めすることはできません。しかし後者業務系システムにはこのESET PROTECT MDRをご利用いただけますので、お客さまのセキュリティ強化のために、積極的にご紹介していけたらと考えています。業務系システムのセキュリティを高めることが、間接的に医事系システムの安全性向上につながりえるからです。これからセキュリティの強化を検討されるなら、やはり自分なりに可能な範囲で調べ、自組織に適したシステムを探すことが、非常に重要だろうと思います。きっと選択肢もいろいろとあり、判断は簡単ではありません。ただ一つ言えるのは、製品自体の性能や価格だけでなく、導入時あるいは導入後のサポートも重要項目とされるのがよいということ。この点からも、私はESET PROTECT MDRをお薦めしたいと考えます（大橋さま）

そうですね、導入検討時からキヤノンMJの担当者には、いろいろな確認や相談のため何度もメールを送りましたが、すぐに返信してもらえる安心感がありました。もう1社は返信が遅めで、これもESET PROTECT MDRに決めたポイントの一つです。返答内容も的確で、こちらが1を聞けば10で返してくれるような、しっかりとした情報や資料をいただきました。そして導入後にもいろいろな問い合わせをしており、わからないことがあれば気軽に「チャットで聞いてしまえ」という感じで、安心して利用できています。運用上のトラブルも今のところありません。運用フェーズで頼れるからこそMDR導入の意味がありますので（長浜さま）