つるぎ町立半田病院、ランサムウェアの被害を教訓に院内ネットワーク環境で多層的なセキュリティ対策を実施

　アライドテレシス株式会社は13日、徳島県美馬郡のつるぎ町立半田病院が、アライドテレシスのネットワーク／セキュリティ製品・サービスを採用したと発表した。

　半田病院では2021年10月、ランサムウェアへの感染によって電子カルテを含む情報システムが全面停止し、復旧までに2カ月を要する大きな被害を受けた。同院はそれ以降、外部有識者の助言や公的機関のガイドラインを参考に、情報セキュリティの抜本的な見直しを開始。ネットワーク監視やウイルス対策の強化、バックアップ体制の再構築に加えて、アライドテレシスの支援のもとで段階的にITインフラの再設計を進めたという。

　まずフェーズ1では、職員が利用する有線インターネット接続に対し、UTM機能を備えたファイアウォールを導入。外部との通信をリアルタイムで監視・制御できる構成となった。また侵入経路となった回線は解約し、既存のリモート回線や患者インターネット回線を転用したほか、固定IPの変更もあわせて行うことで、コストを抑えつつ、セキュリティの刷新を実現したとのこと。

　次のフェーズ2では、内部不正対策を実施した。具体的には、院内約50台のHUBを認証スイッチ「x230シリーズ」に刷新して、MAC認証からIEEE 802.1X認証へ移行し、Active Directoryによる認証基盤を整えた。さらに、スイッチ「x930シリーズ」を独自の管理機能「AMF」のマスター機器（管理する側）として導入し、既存スイッチの一元管理を実現している。

　さらに、統合管理アプライアンス「VST-APLシリーズ」による運用効率の向上とファームウェアの更新管理を実施。802.1X非対応のプリンタはMAC認証で接続を許可しているが、サーバー用とプリンタ用のVLANを新設し、機能単位でセグメントを分離することで、内部拡散による被害拡大リスクを抑制したという。加えて、全館のフリーWi-Fi化も実施している。

　次のフェーズ3では、外部からのリモートアクセスを全面的に見直し、従来は複数かつ方式もさまざまだったリモート回線を、IPsec VPN方式に一本化するとともに、多要素認証によってセキュリティを向上させた。さらに、ファイアウォールを通じた接続に送信元制限を設け、サーバーからの外部通信は必要最小限な接続とし、不要な外部接続を遮断する構成を採用。あわせて、リモート接続アカウントもすべて再登録し、固定IP回線によって接続経路を厳密に制御している。

　さらに、外部アクセスは仮想基盤上に構築した中継サーバーを経由させ、その上でベンダーごとにOSやIPアドレスを分離した仮想サーバーを用意することで、アクセス権限の明確な分離と、院内ネットワークへの接続経路の一本化を行った。この中継サーバー上では、証跡管理システム「Ekran（エクラン）」を用いて、操作ログを映像でも取得し、ネットワーク機器のログはSyslogサーバーで保管するなど、不正行為や誤操作の追跡性を高めている。

　さらに、Windows Updateを集中管理するWSUSサーバーを新設し、パッチ適用状況の把握と更新を徹底。脆弱性通知サービスにも加入し、脆弱性によるリスクを最小限にする運用を行った。

　最後のフェーズ4では、ネットワーク分離・監視体制を整えた。インターネット専用として2台目のファイアウォールを新たに導入し、それぞれに異なるセキュリティポリシーを適用可能な体制にするとともに、アクセスポイントではSSIDを分け、無線ネットワークも論理的に患者用と職員用とに分離している。

　さらに既存スイッチへのVLAN設定を追加し、ネットワークゾーン単位での通信制御を精緻化。外部向け通信の可視化と不審なアクセスの早期検知を実現するため、インターネット通信に特化したSyslogサーバーも新たに導入し、不審なアクセスの早期検知体制を整備したとのこと。