CASE STUDIES
導入事例
導入事例:社会福祉法人あじろぎ会 宇治病院
医療機関を狙ったランサムウェア攻撃を
24時間365日体制で撃退
京都府宇治市に本拠を構える社会福祉法人あじろぎ会 宇治病院(以下、宇治病院)は、まだ戦後間もない1946年から長きに渡って地域の医療を支え続けてきた病院です。総合病院として各種専門外来や253床の入院施設を備えるとともに、老人保健施設や福祉センター、看護ステーションなどの運営も行っており、医療と介護の両面から地域の暮らしと健康を支え続けています。
社会福祉法人あじろぎ会 宇治病院
- 概要
- 1946年設立 従業員数512人(※2022年10月現在)
地域の医療と福祉に貢献するという理念のもと、病院を中心とし老健や在宅事業を幅広く展開。患者のニーズに寄り添い、地域の健康を支えている。病床数は253床。
- 対象エンドポイント数
- 約300台
- 導入製品・サービス
- Cybereason EDR / Cybereason NGAV / Cybereason MDRサービス(Managed Detection and Response = 脅威検知と対応のマネージドサービス)
医療機関を狙ったランサムウェア攻撃に備えるために
業務推進部 部長
中森 哲二 氏
同院は電子カルテシステムの導入以降ICT関連の施策にも力を入れており、現在では業務推進部 IT情報システムチームというICT専門の部署が院内のネットワークインフラの運用や情報セキュリティ対策、クライアント端末の運用管理などを行っています。特にセキュリティ対策に関しては、国内の複数の医療機関がランサムウェア攻撃で大きな被害を被ったことから、以前から強化の必要性を強く感じていたと中森氏は語ります。「医療業界でランサムウェア攻撃の被害が増えていることは実感しており、経営陣もそのリスクを十分理解していましたから、対策の強化に向けた計画を策定して準備を進めていました。そんな折に発生したのが、当院に対するランサムウェア攻撃でした」
EDRの導入によって24時間365日の監視体制を構築する
2023年1月、同院の一部のシステムが管理するデータがランサムウェアによって暗号化され、攻撃者から金銭要求の脅迫を受けるという事態が発生しました。これによる情報流出は確認されませんでしたが、実際に攻撃を受けたことでランサムウェアをはじめとする最新のサイバー脅威への対策が急務であるとの危機感が一気に高まりました。そこでまずはEDR(Endpoint Detection and Response)を導入し、万が一サイバー攻撃の侵入を受けても、実被害が発生する前にいち早く脅威を検知・除去できる仕組みを導入することにしました。EDRの導入を決めた理由について次のように説明します。「それまでは内部に侵入した脅威を効果的に監視する手段がほとんどなかったため、一度侵入を許してしまうと検知・除去する有効な手立てがありませんでした。平日の日中であれば担当者が直接監視することもある程度可能でしたが、休日や夜間になると監視の目が行き届かないためほぼ無防備の状態でした。そこでEDRを導入することで、内部に侵入した脅威を24時間365日体制でしっかり監視・検知できるようにしたいと考えました」またEDRのような先進的なセキュリティ製品を導入することで、ランサムウェア対策をしっかり実施していることを対外的に示し、高い信頼感を得られるのではないかとも考えたといいます。
サイバーリーズン製品の導入で包括的なセキュリティ対策の強化を
早速主要なEDR製品を幾つかピックアップして比較検討を行った結果、最終的に同院が採用を決めたのがサイバーリーズンのEDR製品「Cybereason EDR」とそれを使った監視代行サービス「Cybereason MDR」、そして次世代アンチウイルス製品の「Cybereason NGAV」でした。これらの製品を選んだ理由について、「Cybereason EDRとCybereason NGAVはATT&CK Round 4評価においてあらゆるカテゴリにおいて最高評価を獲得していることを高く評価しました。またCybereason MDRをあわせて導入することで、EDRを使った監視・検知を代行してもらえるだけでなく、アラート検知時の対処方法まで提案してもらえる点が当院のようにIT要員が少ない組織にとって有用だと感じました」と説明します。またこれらの製品・サービスを導入・運用することで、NIST(米国国立標準研究所)が定義するサイバーセキュリティフレームワークに準拠したセキュリティ対策を実現できる点も、サイバーリーズン製品の導入を決めた大きな理由の1つだったといいます。
Reason Why
- 24時間365日体制でしっかり監視・検知できる
- アラート検知時の対処方法まで提案してもらえる
NGAVとEDR、MDRの組み合わせによる多層防御態勢を構築
現在同院では、病院や各介護サービス施設で利用されている約300のエンドポイントにサイバーリーズンのクライアントソフトウェアを導入し、Cybereason NGAVで攻撃をブロックするとともに、これをすり抜けて侵入してきた脅威をCybereason EDRで検知するという多重防御態勢を築き上げています。もし脅威が検知された場合はCybereason MDRから即座に通知が届き、素早く対応できる体制が整っているといいます。「毎日一定間隔でCybereason EDRのダッシュボードをチェックして、脅威の状況を監視しています。もし何らかのアラートが検知された際には、Cybereason MDRの担当の方から検知内容について丁寧に説明いただけるのでとても助かっています。幸いなことに今のところ深刻な脅威が検知されたことはありませんが、安全な環境を保てているという安心感が得られたのはとても大きいですね」なお同院では今回サイバーリーズンの製品・サービスを導入してセキュリティ対策の大幅な底上げを実現できたことを機に、今後さらにネットワークセキュリティやアタックサーフェスマネジメントなどの取り組みを強化し、さらに強固なセキュリティ対策の実現を目指したいとしています。
Q&A
どのようなセキュリティリスクを最も脅威と感じていましたか?
医療機関を狙ったランサムウェア攻撃が夜間や休日に発生していたため、人手による対応では後手に回ってしまうことを危惧していました。
経営陣の方々に対してEDR導入をどのように説得しましたか?
EDRの防御機能やMDRによる監視体制の有効性、さらにはMITRE ATTACKの結果などの導入効果を説明したところ理解を得ることができました。
今後サイバーリーズンにはどのようなことを期待されますか?
ランサムウェア対策の一環としてのファイル復元や、防御対策強化などをアップデートする予定だとうかがっているので、そこに期待しています。
課題と導入の効果
- Before医療機関を狙ったランサムウェア攻撃の対策を強化する必要があった。
- AfterCybereason EDRの導入で侵入した脅威をいち早く検知できる体制を構築。
- Beforeランサムウェア攻撃を受けたことから対策が急務だった。
- AfterCybereason NGAVの導入で最新の脅威に対する多層防御態勢を実現。
- Before夜間・休日でも即応できる監視体制を構築する必要があった。
- AfterCybereason MDRの導入で24時間365日の監視体制を構築。