事例Use case
【ユーザーインタビュー】医療個人情報をサイバー攻撃から確実に守るために調剤薬局が打った手とは?
SECURIE 活用事例 2019.9.11
埼玉県川越市に本社を置くイントロン株式会社(以下、イントロン)は、埼玉県、東京都、千葉県を中心に全国で43店舗 の調剤薬局を運営する企業。薬品を提供した患者の個人情報を数多く管理する同社では、情報漏えいを防ぐために厳密な情報セキュリティ対策を行ってきましたが、さらに厳格な対策とセキュアな店舗内Wi-Fi環境を実現すべく、SECURIE SOHOを新たに導入しました。その結果、利便性に優れたWi-Fi環境と、高いレベルのセキュリティ対策を両立させることに成功しました。
サイバー犯罪者の格好の標的となる「医療個人情報」
イントロンが運営する調剤薬局の各店舗には、それぞれ保険のオンライン申請を行う「レセプトコンピュータ(レセコン)」が設置されています。この中には患者の氏名、住所、年齢から投薬歴まで、大量の個人情報が保管されているため、厳重なセキュリティ対策が求められます。そこで同社では、レセコンとともにセキュリティルーター機器を各店舗に導入し、サイバー攻撃から個人情報を守るための厳重な対策を講じています。
また、レセコンが接続されているネットワークと、それ以外のPCや複合機などのデバイスが接続されているネットワークとを分離し、レセコンが管理する個人情報が他のデバイスを介して外部に流出しないよう、徹底した管理を行っています。
これらのセキュリティ対策は、本社において具体的な方針や施策を決定し、それに沿って各店舗に一律に同じ対策を展開しています。この任に当たっているのが、同社 業務本部でITシステムを担当するO氏です。同氏は、昨今における医療業界の情報セキュリティ事情について、次のように説明します。
「闇市場で取引される個人情報の中でも、医療情報が含まれるものは特に高値で取引されていると言われています。事実、医療機関を標的にしたサイバー攻撃は増えており、病院がランサムウェアの被害に遭ったとの報道もあります。私たち調剤薬局も医療関連の個人情報を多く扱うことから、情報セキュリティ対策には十分に気を配る必要があるのですが、業界全体を見渡すとまだ十分な対策がとられているとは言えません。そこで当社は率先して自ら情報セキュリティ対策の強化に取り組むとともに、業界全体に対してその重要性を啓蒙していきたいと考えています」そうした取り組みの一環として、同社では自社の情報セキュリティ対策の現状を可視化するために、外部の業者が提供する脆弱性診断サービスを受けました。その結果、レセコン周りはもちろんのこと、それ以外の端末やネットワークに関しても十分なセキュリティ強度を保てていることが判明しました。しかしその一方で、対策の効力が及ばない端末もわずかながら何台か見付かったといいます。
「ほんのわずかですが、セキュリティルーターを経由せずにネットワークに直接つながっている端末が見付かりました。こうした見落としをなくして、万全の対策を講じるには、すべての端末のセキュリティ状況をひとまとめで可視化できる何らかの手段が必要だと痛感しました」(O氏)
「SECURIE SOHO」の導入で薬局店舗内のセキュアなWi-Fi環境を実現
またもう1つのリスク要因として、各店舗における「Wi-Fiの運用」がありました。近年ではレセコンをはじめとして、POSレジ端末やデジタルサイネージ装置など、調剤薬局の店舗に設置する各種機器類のWi-Fi化が進んでいます。また店舗で働くスタッフの利便性や生産性を高めるためには、スタッフが利用するPCやタブレット、スマートフォンなどが快適に利用できるWi-Fi環境の整備が求められていました。
「こうした現場からの要求にきちんと応えないと、いずれは各店舗が勝手にWi-Fiルーターを導入してしまい、そこからセキュリティホールが生まれてしまう危険性があります。そこで、各店舗に利便性の高いWi-Fi環境を提供しつつ、同時にネットワークセキュリティの強化を図れるようなソリューションを探していました」(O氏)
そんな同社が最終的に選んだのが、BBソフトサービスが提供する小規模オフィス向けセキュリティサービス「SECURIE SOHO」でした。SECURIE SOHOは、セキュリティルーターとWi-Fiルーターの機能を併せ持った小型機器をネットワークにつなぐだけで、PCやスマートフォン、タブレット端末、ネットワークプリンターなどさまざまなデバイスのセキュリティを一元管理できるサービスです。
同社はこれを各店舗に導入し、全店舗合わせて約200台ある業務用PCや複合機、デジタルサイネージ機器、従業員のスマートフォンやタブレット端末といった各種Wi-Fiデバイスの一元管理を実施しました。SECURIE SOHOには「ゲストWi-Fi機能」があるため、従業員の私物デバイスはゲストWi-Fiネットワークに接続させ、一方で業務用PCや複合機、デジタルサイネージといった業務用デバイスは、ゲストWi-Fiとは完全に分離された業務用ネットワークに接続する構成を取りました。
これによって、すべてのWi-Fi機器がSECURIE SOHOのセキュリティルーターを経由してネットワークにつながるようになり、より強固なネットワークセキュリティ体制を構築できました。もし管理対象のデバイスが何らかのセキュリティ上の脅威にさらされた場合は、管理者に即座に通知されるため、各種Wi-Fiデバイスをより安心して導入・運用できるようになったとO氏は言います。
「デバイスを初めてネットワークにつないだときには脆弱性の有無をチェックしてくれますし、普段の運用の中でもし不審なサイトにアクセスしようとしたり、怪しいコンテンツがダウンロードされそうになったときには、すぐにアラートを通知してその場でブロックしてくれます。今のところ幸いにも大きなセキュリティ事故は起きていませんが、もし何らかの予兆があれば管理ツール上ですぐに確認できますから、セキュリティ上の不安はかなり軽減されました。とはいえ、まだまだ使いこなせていない機能も多いので、今後はさらにSECURIE SOHOの機能を活用しながら、よりセキュアな業務環境を実現できればと考えています」