ゼロトラストでのセキュアリモートアクセス

～訪問診療時に院内の電子カルテシステムへセキュアにアクセスする～

西日本側にある約100床の病院様のPoC事例をご紹介します。

お客様紹介

業種：医療
業務：地域に密着し、手術、リハビリ、訪問診療などを行う
所在地：西日本側の都心から離れた緑豊かな町

 

>>  PoCについてのお問い合わせはこちらから>>

 

PoCの背景と要望

背景 　医療関係へのサイバー攻撃被害が発生する中、2023年4月の医療法施行規則改正により医療機関等へのサイバーセキュリティの遵守が明確化され、病院、診療所及び助産所の情報セキュリティ強化が求められている。 　そんな折、O病院様の情報システム部から、訪問診療におけるセキュリティについて相談を受けた。「20名ほどのお医者様が訪問診療しており、訪問先から、個人情報である患者様の電子カルテにアクセスをしている。院外から院内への通信はSSL‐VPNを使用しているが、昨今、FWの脆弱性をついた攻撃が増えていることから、これまでとは異なる通信方法で、セキュリティ性の高い運用を実現したい」というご要望をいただいた。 　当該要望について、O病院様の現行環境に合わせたゼロトラストネットワーク型での接続実現性を提案し、検証（PoC）を行うこととなった。 PoCで確認したいこと 　PoCにつき、現行環境に大きな変更は加えられない。最低限の変更と小規模のPoC環境でリモートでの接続テストを行う。

※PoC：Proof of Conceptの略。PoC検証では、新しいアイデアや技術の実現可能性を検証ことを指し、本格開発・導入の前段階で実施する。また、実際の現場にできるだけ近い環境で検証を行い、実現後にどれだけの効果を得られるのかを把握することができる。

PoC内容

　医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）にも記載されている、ゼロトラスト型での構成で、 SSL-VPNに替わるセキュアな通信の実現を検証をすることになった。検証目的は訪問診療時に電子カルテにセキュア且つスムーズにアクセスできること。下記のようにPoCの製品とゴールを決めた。

PoC製品

Cisco Secure Connect
※当社からの提案製品で、院外から院内へのアクセスもセキュアな通信を実現可能である。

PoCゴール

ゴールA：院外から院内の電子カルテがセキュアに使用できる
ゴールB：スムーズに電子カルテが操作できる

PoC作業手順と役割分担

• • • PoC用回線手配：お客様作業
    • PoC環境準備：当社作業
      Cisco Secure Connect、Meraki MX
    • PoC環境の現地導入：当社作業
    • お客様端末へのクライアントソフト導入：お客様作業
    • お客様環境との接続：客様・当社作業
    • 使用感に関する実テスト：お客様作業

※お客様環境が西日本、当社当部が神奈川県川崎市のため、遠隔でコミュニケーションを取りながら検証を実施

•  

当初作業としては上記で進めることを考えていましたが、お客様のご都合で回線手配ができなかったことと、それに伴って想定していた上記PoC環境以上に複雑な環境になりました。詳しくは次の通り。
※リモートアクセスにあたって、ユーザ情報（IdP）に関する環境が必要ですが、説明をシンプルにするため、当該説明からは割愛します。

検証①：PoC計画と実態のずれ

問題 　PoC用に院内環境へ接続するためにInternetから入ってきた通信をPrivate IPアドレスにする必要があるが、PoC用の回線を引けない。また、MerakiもPrivate IPアドレスに変換する機能がない。 代替案 　模擬的にPrivate IPを使用するために、NATルータを間に入れて、通信をPrivate IPアドレスに変換する構成が必要である。 　➡検証②に方針変更

検証②：構成変更

検証結果 ゴールAの検証：電子カルテシステムへセキュアにアクセス可否 　➡ゴールAはクリア！ ゴールBの検証：スムーズに電子カルテが操作できる 　➡社内フォルダへアクセスの通信速度が遅いことが判明 ゴールBの検証結果の原因： Cisco Secure Connectが初回の自動接続する拠点がシンガポールであった ➡東京に変更し再検証後、スピード遅延を部分的に解消 構成上、PoC検証機器に加え、院内既存環境においてもネットワーク機器が多段に構成されているため、通信に遅延を及ぼしている可能性がある
代替案 　PoC検証中に、実際に近い環境のスピードの確認をするため、Cisco Secure Connectスピードテストを計画 　　➡検証③を計画

 

検証③：スピードテスト

スピードテストは比較のため病院の社外環境と当社ラボからのスピードを測定するが、当社ラボ環境から院内環境への接続ができないこと、および院内環境の遅延原因を取り除いての検証ができないため、院外のみでの検証とした。 結果：お客様環境 非CSC経路：上り200Mbps／下り200Mbps CSC経路　：上り100Mbps／下り60Mbps 結果：当社環境 非CSC経路：上り 84.68Mbps／下り85.00Mbps CSC経路　：上り 33.52Mbps／下り75.86Mbps
比較結果 　お客様の社外環境からCisco Secure Connectを経由して、Internetアクセスを行う際、上り及び下りの速度について速度低下を確認。当社ラボ環境からの速度の方が低いことも確認。２環境の数字から、Cisco Secure Connect経由でも体感として遅い速度ではないといえる ➡条件付きで検証クリアとした

PoCの評価

　当初、検証期間は１カ月と想定していたが、問題が発生したため追加で２つの環境で検証を実施したこともあり３ヶ月の期間を要した。代替案で検証を継続しPoCを完了した。PoCの評価は下記の通り。

PoCゴールA：院外から院内の電子カルテがセキュアに使用できる

検証クリア

※Cisco Secure Connectを使用してセキュアにアクセス可能

PoCゴールB：スムーズに電子カルテが操作できる

条件付きで検証クリア

※院内の複雑な経路となるイレギュラー構成（NATルーターを間にいれた構成）、今後変更予定の老朽化した現FW/HUBが遅延の原因の１つと考えられる
※スピードテストは、当社ラボ環境から院内へのアクセスが不可のため、院外のみでCisco Secure Connect経由のスピード測定を行った結果、問題ないスピードであると判断

お客様の声

　訪問診療のセキュリティについて、当院の関係ベンダーでは有効な回答が得られなかったこともあり、他案件提案中のNTTデータ ルウィーブに相談をしたところ、PoC提案含め現実性の高い案をいただけた。PoC実施までに検証方法に変更があったが、当院の環境に合わせ、実現性に向けた確認ができた。

　現在、導入に向けた次のアクションに進めている。

当社のPoC

　今回の反省点を踏まえ、今後実施するPoCは回線部分から当社役割とし、よりPoCが簡単にできる方法をお客様に提案いたします。PoCでのゴール設定にもよりますが、期間としては数週間～1か月を目安に完了すると考えています。

　SASE製品で言いますと当社複数ご案内可能です。本格導入の前段階で自社環境で技術検証、性能検証をしたい場合、PoCで検証、分析することが候補選びの1つの材料となり、実現への第一歩となります。

病院、企業のネットワークを高速に！セキュリティを強固に！と、必要に迫られていませんか。

実現方法の検討が進んでいない場合、PoCで検証→分析をしてみませんか。

　お客様ネットワーク環境やセキュリティ環境はそれぞれ異なり、複雑なケースもありますが、問題が発生しても柔軟に代替案を見つけて対応をいたします。まずは要件や相談内容をお気軽にお問い合せください。

コラム：当社SASEラボ環境のご紹介	事例：リモートワークをはじめとする新しい働き方の基盤を ゼロトラストネットワークで構築	事例：1日複数件あった「無線がつながらない」という問い合わせが0件になりました

相談・お問い合わせ 製品・サービスに関するご質問・ご相談、見積やPoCに関してのお問い合わせなど右記フォームよりお気軽にお問い合わせください。