医療機関を狙ったサイバー攻撃が大きな問題になるなか、医療情報を扱う際の安全管理をどう行っていくかが課題になっています。厚生労働省、経済産業省、総務省の 3 省は、医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドライン(3 省 2 ガイドライン)を公表していますが、ガイドラインに沿った対策を実施するためにはさまざまなハードルがあります。そんななか、Microsoft Azure(以下、Azure)サービスを使ってリモートメンテナンスの仕組みを新たに構築し、医療機関がセキュリティ管理やログ管理を強化できるようなサービスを展開しはじめたのが、検体検査装置と検査情報システムを提供する株式会社エイアンドティーです。パートナーの Wizards株式会社とともに新開発したサービスの内容や仕組み、メリットを聞きました。

「臨床検査」に関わる製品を製造からサポートまで一貫した体制で提供

「医療を支え、世界の人々の健康に貢献する」を企業理念に、生体の機能や血液などの検体を分析する臨床検査に関わる製品を展開する株式会社エイアンドティー(以下、A&T)。1978 年にグルコース分析装置を発売して以来、検体検査装置業界をリードし続け、現在は、病院の検査室・診察室のほか、検査センター、健診センター、救急センター、動物病院など幅広い医療現場を支援しています。

製品としては、検体検査・輸血検査・細菌検査・病理検査などをプラットフォームとして提供する臨床検査情報システム(LIS)の「CLINILAN Series」や、検査室工程自動化モジュラーシステムや分析前工程統合管理モジュールで構成する検体検査自動化システム(LAS)の「CLINILOG」、グルコース分析装置、電解質分析装置、血液凝固分析装置、臨床検査試薬などがあります。

A&T のサービスの大きな特長は、製品の開発から製造・販売・カスタマーサポートまでを一貫して手がけることです。自社で開発・製造・販売・保守までを一貫して行うことで、顧客からの様々な要望や問い合わせ、修理依頼に対して、部署間のスムーズな情報共有と柔軟な対応を行ない、迅速に顧客をフォローする体制を構築しています。A&T 情報システム部 部長 益田 法俊 氏は、こう話します。

「お客様の声を直接聞きながら、お客様が抱えている潜在的な悩みに応え、臨床検査が目指す方向を見据えてニーズに沿った製品の企画・開発を行っています。サポート体制は、問い合わせ受付、リモートによる障害対応、修理・点検・巡回訪問サービス、再生・メンテナンスサービスの 4 つの機能を有機的に結びつけた総合サポートでお客様をバックアップしています」(益田 氏)。

  • 株式会社エイアンドティー 経営管理本部 情報システム部 部長 益田 法俊 氏

    株式会社エイアンドティー 経営管理本部 情報システム部 部長 益田 法俊 氏

ただ、医療を取り巻く環境が変化するなかで、同社の特長である総合サポートをこれまで通り提供することが難しくなっていったといいます。そこで構築したのが Microsoft Azure を全面的に活用した総合サポートサービスのインフラ基盤です。

「お客様をリモートからサポートしたり、機器のメンテナンスを行ったりする基盤をMicrosoft Azure で刷新しました。これにより、お客様のニーズにこれまでより迅速に対応できるようになり、3 省 2 ガイドラインを始めとする医療情報を安全に管理する各種ガイドラインへの対応も徹底できるようになりました」(益田 氏)。

総合サポートサービスを継続・拡充していくなかで直面した 3 つの課題

A&T が総合サポートを提供するにあたり直面していた課題の 1 つは、機器・システム環境の老朽化です。A&T 情報システム部 ICTソリューショングループ 伊藤 栄記 氏はこう説明します。

「近年では、お客様のシステム環境を遠隔地から保守することが当たり前になってきましたが、我々がサービスを提供しはじめた当初は、リモートメンテナンスの考え方も普及していませんでした。そんななかA&T では、お客様からの要望に応えるために既存インフラを利用してさまざまな機能を追加してきました。たとえば、ISDN 回線や ADSL 回線を使って病院の機器に接続し、IPsec-VPN でセキュリティを担保しながらリモートでメンテナンスを行う仕組みを構築しました。ただ、長年サービスを提供するなかで、2023 年 1 月に ADSL がサービス終了するなど、仕組み自体を継続することが困難なケースが増えてきました」(伊藤 氏)。

  • 株式会社エイアンドティー 経営管理本部 情報システム部 ICTソリューショングループ 伊藤 栄記 氏

    株式会社エイアンドティー 経営管理本部 情報システム部 ICTソリューショングループ 伊藤 栄記 氏

課題の 2 つめは、システム環境の複雑化と運用管理負担の増加です。リモートメンテナンスの考え方が広がるなかで、顧客から求められる機能や要件が増えていきました。

「これまでの仕組みのままでは、お客様のニーズに応えられなくなっていました。弊社側の管理システムも複雑化し、新しい機能を追加したり、新しいサービスを提供したりすることが難しくなっていたのです。たとえば、何か新しい機能を追加しようとすると、階層化したルーターの設定を見直す作業が発生し、機能の提供までに長い時間がかかるようになりました」(伊藤 氏)。

課題の 3 つめは、3 省 2 ガイドラインを始めとするセキュリティ要件への対応です。ガイドラインはサイバー攻撃の脅威が高まるなかで改訂が続けられ、医療機関に求められるルールも多岐にわたります。

「たとえば、厚生労働省のガイドラインでは、2021 年の改訂で、個人情報を含む資源についてはすべてのアクセスログを収集し内容をチェックすること、認証・パスワードにおいては二要素認証などを行うことなどを求めています。また、2023 年の改訂では、ゼロトラストネットワーク型思考や、本人確認を要する場面での eKYC の活用などを求めています。セキュリティの担保は、我々がサービスを提供した当初から重視してきたことです。ただ、サイバー攻撃の脅威が高まるにつれ、これまでよりも迅速かつ安全にサポートを提供する必要がありました」(伊藤 氏)。

Microsoft Azure を全面採用したリモートメンテナンスの基盤を構築

こうした機器・システムの老朽化、複雑化した運用管理の効率化、新たなセキュリティ要件への対応といった課題に対応するために、A&T では 2020 年から新しいシステム基盤の検討を開始します。

「リモートで接続されている医療機関は、大学病院や中核病院など比較的規模の大きな病院を中心に、北は北海道から南は沖縄まで約 500 組織に上っていました。システム環境や運用管理の方法、セキュリティポリシーも組織ごとに異なります。IPsec-VPN では要件を満たさないケースもあれば、リモート管理の厳密なユーザー管理を求められるケースもあります。また、不正アクセスをチェックするためにすべてのログを収集することが求められていましたが、ログを収集する基盤自体がないことも多くありました。既存システムを改修するだけでは対応できず、仕組みそのものを根本的に刷新する必要があったのです」(益田 氏)。

つきあいのあったさまざまなベンダーに相談するなかで、最も有望なアイデアを提示してくれたのが、マイクロソフトのクラウドソリューションプロバイダープログラム(CSP プログラム)のパートナーである Wizards株式会社(以下、Wizards)でした。

「従来のシステム基盤は、Windows Server や Windows アプリケーションをベースに構築してきました。システム基盤の刷新に向けてクラウドサービスを活用することを検討するなかで、Wizards の代表である橋本さんから、Azure のさまざまなサービスを活用すればいいと提案を受けました。実際に示してくれた概念図を見ると、我々が抱える課題を解消し、さらに今後の新しい取り組みにもつながるものであることが確信できました。すぐにパートナー契約を結び、今後のビジネス展開を見据えたパートナーとして取り組みを進めることを決めたのです」(伊藤 氏)。

Wizards 代表取締役社長 橋本 利一 氏はこう解説します。

「アーキテクチャを描く際に重視したのは、複雑化したシステムをシンプルにしつつ、閉域網接続による安全性の担保、不正アクセスの検知や分析を中心としたセキュリティの強化、 3 省 2 ガイドラインに沿ったログ収集と分析基盤の構築、多要素認証を含めたアカウント管理などの実現です。Azure の良さは、豊富なサービスが提供されており、それらを適切に組み合わせることでスピーディーにシステム環境を構築、デリバリーできることにあります」(橋本 氏)。

  • Wizards株式会社 代表取締役社長 橋本 利一 氏

    Wizards株式会社 代表取締役社長 橋本 利一 氏

ExpressRoute、Firewall Premium、Sentinel などでセキュリティとログを統合管理

Azure を活用した新たな総合サポートサービスのインフラ基盤は、医療機関の LIS や LAS などを安全にリモートからメンテナンスし、不正アクセスの検知や脅威の分析、24 時間の顧客サポートまでを担うシステムです。基本的なシステム構成としては、まず医療機関側に専用ルーターを設置し、Azure の高速閉域網サービスである Azure ExpressRoute を使って、医療機関のネットワークと Azure のインフラ基盤を安全に接続します。医療機関側からは、有線/無線 LAN、4G/LTE/5G などを経由してアクセスすることになりますが、インターネットは一切経由しません。

Azure のインフラ基盤のなかでは、すべてのネットワークアクセスが Azure Firewall Premium を使って保護されます。Azure Firewall Premium は、マルウェアなどの脅威からの保護、データの暗号化、悪意のある IP アドレスやドメインからの保護、不正アクセスの検知、侵入検知や防止(IPS/IDS)などの機能を提供します。リモートメンテナンスを行う場合、A&T のサポート担当者は、Azure のインフラ基盤上に構築された仮想デスクトップを利用します。仮想デスクトップは、Azure Virtual Desktop を使って他の環境から安全に隔離されており、サポート担当者は多要素認証を使って本人確認を行い、なりすましや乗っ取りを防ぎます。

さらに 3 省ガイドラインで求められているすべてのログの収集とチェックについては、OSS のログ収集システムである Fluentd と、Azure のセキュリティ情報とイベント管理(SIEM)サービスである Microsoft Sentinel を使って、統合的に分析できる仕組みを構築しています。Fluentd は、各種システムのシステムログから、医療機関へのアクセスログ、ユーザーのログ、Windows OS のイベントログなどさまざまなログを収集します。多様なシステム環境に対応しながら、ログの長期保存や取得容量の拡張などに対応するため、Fluentd は Windows コンテナー(Azure Container Instances)環境で動作させています。また、Azure インフラ環境は Azure Monitor を使って Wizards によって統合監視されています。

  • システム構築図

    システム構築図

医療機関を狙ったサイバー攻撃が問題になるなか、安全性を担保しつつサービスをさらに拡充させる

新たな総合サポートサービスのインフラ基盤は 2021 年 7 月から稼働を開始しました。ルーターや機器のリプレースに合わせて順次、システムの入れ替えを行っており、現在は、リモートメンテナンスを行っている医療機関のうち、およそ半数にあたる約 200 医療機関まで新システムへの入れ替えが進んだところだといいます。伊藤 氏は新システムの効果をこう説明します。

「課題だった機器・システムの老朽化、複雑化した運用管理の効率化、新たなセキュリティ要件への対応はすべて解決しました。お客様へのアンケートからは、特にセキュリティやログ管理への対応をご評価いただいています。医療機関を狙ったサイバー攻撃が問題になるなか、安全な環境で 24 時間のリモートメンテナンスを実現できることは、これからのビジネスにおいても重要だと考えています」(伊藤 氏)。

こうした成果の背景にはマイクロソフトのサポートもあったといいます。橋本 氏はこう振り返ります。

「Azure をうまく利用するためにマイクロソフトからはさまざまなベストプラクティスやユースケースが提供されています。プレビュー段階のサービスでも相談しながら本番環境に適用できるか検討・検証することをサポートいただけました。今回もそうしたお手本やサポートを活用しました。そのうえで、医療機関に求められる要件や A&T のビジネスニーズにあうようにシステムを設計できたことがよかったと思っています」(橋本 氏)。

今後について、益田 氏はこう展望します。

「今回、すべての医療情報を収集・分析する仕組みを提供できたことで、われわれの機器だけでなく、病院内のさまざまな機器やシステムのサポートも可能になりました。ニーズを汲み取りながら、さらに機能やサービスの拡充に努めていくつもりです。A&T の企業理念である『医療を支え、世界の人々の健康に貢献する』を目指して、Wizards と密接に連携しながら、お客様が抱える課題解決をサポートしていきます」(益田 氏)。

マイクロソフトは A&T の理念の実現に向けてサポートを続けていきます。

[PR]提供:日本マイクロソフト