岡山旭東病院は、脳神経外科、整形外科、脳神経内科をはじめ13の診療科を擁する総合的専門病院です。同院は早期からICTの利活用を積極的に推進してきました。2020年11月には操風会のグループ病院と光専用線で接続し、電子カルテの統合を実現しました。近年では、ICTを活用したスマートフォン向けサービスの提供にも注力しています。
許可病床数214床を有する岡山旭東病院は、早くからICT活用に取り組んできました。現在、約500名の職員が日常業務でおよそ800台のIP接続機器を利用しており、その中にはPCやサーバー、プリンターに加え、CTやMRIといった検査装置も含まれています。
しかし、デジタル基盤の拡充が進む一方で、サイバー脅威に対する懸念も高まりました。
2021年10月、不安は現実のものとして突き付けられました。徳島県の病院がランサムウェア攻撃を受け、電子カルテやバックアップデータが瞬く間に暗号化され、医療業務が停止する事態となったのです。
岡山旭東病院では当時、業務端末に複数のエンドポイントセキュリティ製品を導入し、電子カルテネットワークのような閉域環境ではベンダー指定のセキュリティソフトを使用するなど、各種のセキュリティ対策を講じていました。しかし、これらは主に境界型防御を前提としており、ランサムウェアのような攻撃には十分とは言えません。
課題はもうひとつありました。当時、業務端末にはそれぞれ異なるセキュリティツールが導入されていたため、院内ネットワーク全体の挙動を統一的に把握することが困難でした。外部からの脅威は監視できていたものの、システム間の内部通信はほとんど可視化できていない状況です。
内部ネットワークの挙動が十分に見えていないと、その通信が本当に正常なのか、それともリスクの兆候なのかを判断することができません。
「現代のサイバー脅威のスピードに対応できる可視性と防御が必要と感じました」と、IT推進部門 CIO の榊原祥裕氏は振り返ります。
こうした不確実性の高まりを受け、同院は新たなセキュリティ対策の検討を開始しました。その過程で出会ったのが、Darktrace ActiveAI Security Platformです。同ソリューションは、ネットワーク全体の通信を包括的に監視し、接続されたすべてのデバイスの通常の挙動を継続的に学習することで異常を検知します。従来のルールベースのセキュリティ製品とは異なり、システム間の相互作用を理解することで、将来的な脅威の兆候となり得るわずかな逸脱も捉えることが可能です。
岡山旭東病院は2022年2月、Proof ofValue(PoV)を開始しました。運用への影響を最小限に抑えるため、まずインターネットに接続された端末に限定して検証を実施しました。
(*) Proof of Value: 4週間の導入前検証。
限定的な範囲ながら、その結果は非常に示唆に富むものでした。Darktrace製品は、既存のルールベースのエンドポイント製品では検知されなかった、通常の挙動と一致しない通信パターンを即座に検知しました。DarktraceのAIは、「これまで意識して確認することすらなかった」挙動を可視化し、リスクが顕在化する前の段階でその兆候を捉えたのです。
このことは、同院の環境への理解を一層深めるきっかけとなりました。従来は個別の事象として捉えていたネットワーク上の通信を、相互に関連する一連の挙動として把握できるようになったのです。「院内のすべての接続をリアルタイムかつ正確に把握できたのは初めてでした」(榊原氏)。
こうした挙動を捉えられたのがDarktraceのみで、既存のエンドポイントセキュリティ製品では分からなかったという事実は、高く評価されました。
検証が進むにつれ、同院ネットワークの解像度は大きく向上しました。DarktraceのSelf-Learning AIにより、通信の文脈を踏まえた挙動の把握が実現し、環境ごとの「正常な状態」を学習できるようになりました。これは、利用状況が時間帯や業務負荷、緊急対応の有無によって大きく変動する医療現場において、特に有効でした。既存のベースラインからの逸脱に着目することで、通常の業務変動と本当に注意すべき挙動を見極めることが可能になったのです。
こうして得られたネットワーク全体の可視性は、より能動的な対応への基盤となりました。検知への信頼が高まるにつれ、同院は受動的な監視にとどまらず、迅速な対処へと踏み出せる可能性を見出しました。この変化を支えたのが、Darktrace ActiveAIのAutonomous Response機能です。同機能は、必要に応じて高リスクな挙動を自動的に封じ込めることができます。情報セキュリティを2名体制で担う同院にとって、人手に依存せず迅速に対応できることは、サイバーリスク管理のあり方を大きく変えるものでした。
「夜間や休日を含め、数秒で対応できるようになったことは、人員が限られる医療機関にとって非常に大きな価値があります」と榊原氏は語ります。
2022年12月、岡山旭東病院はDarktrace製品による監視対象を拡大し、VPN接続を含む電子カルテネットワークに接続可能なIP機器すべてを対象に運用を開始しました。
導入後、電子カルテ端末から複数サーバーへの短時間でのアクセスや、内部ファイルサーバーにおける大量のファイル削除など、複数のセキュリティアラートが検知されました。これらはいずれも正規の委託業者による操作であり、リスクは低いと判断されましたが、これまで把握できていなかった内部リスクを可視化できたことは、同院が目指していたセキュリティ対策を実現するものであり、セキュリティチームの期待にも応える結果となりました。
Autonomous Response機能については、時間帯や曜日、異常度に応じた通信遮断の条件を設定。状況に応じて手動承認を行うことも、AIによる完全自動での対応も可能となりました。その結果、夜間や休日であっても迅速な封じ込めが実現しました。
同院は従来の境界型防御から脱却し、挙動ベースでリスクに対応する、より強靭なセキュリティ体制へと移行しました。「AIを活用したセキュリティの導入は、単なる技術的な強化にとどまらず、医療提供体制の継続性を支える戦略的な投資でした」(榊原氏)。
Check out this customer story from Darktrace: 公益財団法人 操風会 岡山旭東病院
