相澤病院

慈泉会相澤病院は、中信地方の地域医療を支える急性期医療の専門組織であり、同時に医療DXの推進を通じて、医療の質向上や働きやすい職場づくりを目指す先進的な医療機関です。こうした取り組みの一翼を担い、患者や医療従事者、職員が安全かつ安心して医療サービスを享受・提供できるよう、ICT環境を運用管理しているのが、慈泉会本部医療情報システム部です。外部委託に依存しない運用体制のもと、総勢8名でヘルプデスク対応やシステム運用、医療DXへの対応などの多岐にわたる業務に従事しています。

その医療情報システム部が直面していたのが、院内ネットワークの可視性の低さという課題です。院内では、業務システムや電子カルテ、放射  線検査機器など多種多様な機器がネットワークに接続されていますが、  当時はファイアウォールを中心とした境界防御に依存しており、内部で発生する異常を十分に検知できていませんでした。

特に近年は、CTスキャナーやMRI制御システムなどの医療機器にも汎用OSが搭載されており、新たなアタックサーフェスが作り出されています。日本で発生したいくつかのランサムウェアインシデントにおいても、このような医療機器上のデータの暗号化が行われていました。同院も脅威に備えるべく、EDRなどの導入によりエンドポイント対策の強化を検討しましたが、医療機器を取り巻く規制上、運用上の制約によりこれらのツールを画一的に適用するのが難しいのが実情です。エンドポイントセキュリティツールを導入するにしても、エージェントをインストールできない端末についてはセキュリティチームが管理を行う必要がありました。

このような現実に直面し、小日向氏と彼のチームはネットワーク全体の可視化と監視の実現に目を向けました。

ネットワーク全体に渡ってアクティビティを可視化し理解することができれば、インシデントの発生と同時に — 環境に深く入り込んで取り返しのつかない被害が発生する前に  —  検知することができると小日向氏は考えたのです。

これらの要件をもとに小日向氏たちはソリューションの選定を開始し、最終的に採用したのが  Darktrace / NETWORK for Network Detection and Response でした。

決め手となった2つの要素は、受動的にネットワークトラフィックを監視し、既存のインフラの変更の必要が最小限で済む「ポートミラ ーリング型」アーキテクチャであること、そしてAIによる異常検知と即時遮断機能でした。同病院ではネットワークトラフィックを集約するインフラがすでに存在していたため、コストのかかる再設計が必要なく、オペレーションの負担が増えない点にも大きな価値があったといいます。

中でも特に評価されたのが、疑わしいアクティビティを即座に遮断する自律遮断機能です。

「たとえば夜間に攻撃の兆候が見られたとき、すぐに通信を遮断し、私たちが対応に駆け付けるまでの“時間稼ぎ”ができるという点に有用性を感じました」（小日向氏）

Darktraceの存在を知り、同病院はPOV（検証導入）を行い、実際の環境内でソリューションをテストしました。その際、異常な通信を検知してから通知が飛び、遮断機能が発動するまでのスピードが「ほぼリアルタイム」といえるレベルだったと小日向氏は言います。

「たとえばフロー型のNDR製品であれば、認証サーバーと連携した上で、異常な通信が検知された際にクライアントが接続されているスイッチポートを遮断するような設計が必要になります。Darktraceでは、そうした再設計も不要で、アプライアンス1台をつなげて設定するだけで検知と防御が実現できます。単体でアクションまで完結できるDarktrace製品は、費用対効果が高いと感じました」

このほか、感覚的に使いこなせるUIや、POV時の学習データをそのまま引き継いで運用に入れる効率性、検知モデルのカスタマイズ、そしてダークトレース・ジャパンの手厚いサポートなども製品採用の決定打となりました。

POV検証から約5か月後の2024年12月、同病院はDarktrace / NETWORKの正式発注を行い、2025年1月から本格的な運用がスタートしました。

Darktrace / NETWORKの本格運用を開始した現在、ネットワーク内で何が起きているのか分からないという漠然とした危機感が、“状況を把握できていることの安心感”に変わったと小日向氏は述べます。管理者権限の不審な使用や、C&C通信とみられる異常な挙動など、これまでは気付くことができなかった、または気付いて原因を洗い出すのに相当な時間がかかっていたリスクも、リアルタイム通知で見落とすことなく、迅速な対応が可能になりました。

特にDarktrace製品の効果を痛感した出来事があったと小日向氏は明かします。

運用開始からしばらくして、遮断機能が複数回発動するインシデントがありました。早速調査したところ、脆弱なSMBファイル共有プロトコルを使用したファイル書き換えが発生していたことが判明しました。原因は、本来であれば無効化されているはずのSMBver1プロトコルが、機器搬入時になぜか有効になっていたことでした。深刻なインシデントに発展する前に対処できたのも、Darktrace製品のおかげと小日向氏は言います。

今後は、Darktraceを中心に他システムとの連携を進め、XDR的な  防御アーキテクチャへの拡張も視野に入れているとのことです。より高度で多層的なセキュリティ体制を構築し、限られたリソースの  中でも現実的かつ効果的な防御を実現していきたいと考えています。

この導入を成功に導いた要因

相澤病院にとって、導入を成功に導いた主な要因としては、Darktrace / NETWORKを既存のインフラに対して最小限の変更しか必要としないエージェントレスソリューションとして導入できたこと、そしてこのプラットフォームの特徴であるAI駆動の異常検知と自律的な脅威への対処の強力な組み合わせという2つを挙げることができます。統合されたこれらの機能により、同病院は限られたリソースに過剰な負担をかけることなくネットワークセキュリティ体制を強化し、安心感とオペレーションのリジリエンスの両方を実現することができました。