H.U.グループホールディングス株式会社様
医療情報を狙うサイバー攻撃に備える。
AIを活用した脆弱性診断で、広範囲を対象としたスピーディーな診断が実現。
背景
定期的な脆弱性診断で、医療情報・個人情報をサイバー攻撃から守る
H.U.グループは、約50社で構成され、総合ヘルスケアサービスを提供するグループ企業。検査・関連サービス/臨床検査薬/ヘルスケア関連サービスの3事業を中心に、人々の健康と、医療の未来への貢献を目指している。
主要顧客である病院やクリニックでは、近年セキュリティ意識が急速に高まっている。きっかけのひとつに、病院がランサムウェアに感染し電子カルテが診療に利用できなくなるといった、サイバー攻撃による被害の増加がある。また、国では、医療機関がITシステムを導入する際に「3省2ガイドライン」※に準拠して安全性を確保するよう求めていることも、医療現場の意識変革を後押ししている。
グループ全体の事業戦略を統括するH.U.グループホールディングス株式会社 デジタル企画本部の髙田泰弘氏は「お客様に安心してサービスやソリューションを使っていただくため、定期的に脆弱性診断を実践しています」と語る。
2023年終盤に計画された新たな脆弱性診断は、グループの一社である株式会社医針盤が提供する2つのヘルスケアサービスを対象としたものであった。「医'sアシスト」は、医療機関のWeb予約受付、検査結果連携等でクリニック業務を支援するSaaS。また「ウィズウェルネス」は、個人が日々の健康情報を自らスマホで管理する無料のPHRサービス。両者を組み合わせることで、患者は医療機関から診察・検査結果をデータで受け取り閲覧することができる。
今回の脆弱性診断は、従来にも増して厳格さが求められるものとなった。「患者さんの検査結果、診察結果など非常にデリケートな個人情報を扱うサービスです。万が一の情報流出を防ぐため、入念な診断で万全を期したいと考えました」(デジタル企画本部 苅田陽平氏)。
しかし、懸念されたのが、2024年1月から年度末の3月までの間に、診断および問題点の改修を完了させるというタイトなスケジュール。さらに、年度内の予算には限りがあったため、コストを抑えつつ、品質の高い診断を実施することも課題となった。
※3省2ガイドライン:厚生労働省・経済産業省・総務省が定めた、医療情報システムを取り扱う医療機関や事業者が準拠すべき2種類のガイドライン。
選択
広範囲を短期間でチェックできるAI対応の脆弱性診断を採用
H.U.グループホールディングスと医針盤のプロジェクトチームはまず、新規システム構築時から脆弱性診断を依頼しているTISに声をかけ、今回の計画の実現可能性を含めて意見交換することとした。「TISとは、新規システム構築時の診断以来、セキュリティ全般のアドバイスもいただく良好な関係。信頼できるビジネスパートナーと認識していました」(医針盤 企画管理部 武田伸太氏)。
ミーティングでは、プロジェクトの障壁となる懸念点もTISと共有された。「診断対象は、クラウド上のサーバからWebアプリケーション、スマホアプリまで非常に広範囲。この期間・コストで、すべてカバーできるだろうかと率直に相談しました」(苅田氏)。
これを受けたTISは、懸念点をクリアする手法を検討し、複数の案を提示した。中でもチームの関心をひいたのが、AIを活用した脆弱性診断であった。
これは、最新の攻撃手法やセキュリティガイドラインの学習結果に基づきAIプラットフォームが短期間で診断を行う方式。ドメイン単位で広範囲を一括診断することで、Webページ・画面数に比例した従量課金よりもコストを抑えられるメリットもある。
「それまでAIを活用した脆弱性診断を利用した経験がありませんでしたが、TISからの説明で条件にフィットする手法だと判断しました。こうした一連の意見交換を通じ、脆弱性診断をはじめとするTISのセキュリティ全般に関する経験値や引き出しの多さを改めて感じました」(髙田氏)。こうして、今回の脆弱性診断のパートナーとして、TISが正式採用された。
診断
診断実施から診断結果レポート提出まで短期間で完了
脆弱性診断のためのH.U.グループホールディングスと医針盤側の準備は、診断対象となるWebページやサーバ、アプリの情報の提供と検証用アカウントの発行のみ。「AI対応の脆弱性診断は、一定のコストでドメイン単位の診断ができるため、従来の診断手法のように個別のWebページのURLを一覧化する手間は不要でした」(苅田氏)。
また、個人が使用するスマホアプリについては、TISに提供した最新のapk/ipaファイルに対し、マルウェアからの攻撃リスクなどの診断が実施された。
こうして、診断は2024年1月から延べ約2週間をかけて実施され、予定どおり完了した。その後TISが診断結果レポートを作成し、3月下旬、その結果をもとに報告会が実施された。「クリティカルな問題点は見つからず、軽度な課題が1件報告されたのみでした。これについては当社側で対策を施した後、TISの再診断を受け、すべての課題を解決することができました」(苅田氏)。
診断実施から最終報告までをスケジュールどおり終えた点について、髙田氏はこう語る。「この時期は我々の業界の繁忙期で、脆弱性診断のプロジェクトに割り当てる人的リソースが不足していました。しかし、TISのリードのおかげでスケジュールを遵守でき満足しています」。
効果
サービス利用者に向けてセキュリティ脅威に対する「安心」を担保可能に
今回のTISの動きについて髙田氏は印象をこう語る。「まさに“セキュリティのプロフェッショナル”と言える提案力と実行力に満足しています。社内のリソースだけで高品質な診断を実施するのは現実的ではありませんので、ノウハウを持つパートナーとの協力が最適解だと改めて実感しました」。
今回の診断対象となった2つのサービスの提供者である医針盤の武田氏はこう語る。「お客様に対して単に“安全です”と主張するだけではなく、品質の高い脆弱性診断の結果を提示できることで、より自信を持って勧められる製品になりました」。
今後の脆弱性診断について苅田氏はこう語る。「半年後・1年後、亜種の攻撃パターンで狙われる新たな脆弱性が見つかるケースは珍しくありません。常に最新の手法で、定期的に診断することが重要です。次は、ホワイトハッカーが侵入を試みるペネトレーションテストも検討したいと考えています」。
脆弱性診断以外のセキュリティの領域についても、TISの知見に期待するところが大きいと髙田氏は語る。「たとえば、『3省2ガイドライン』でも推奨されている、ゼロトラスト環境を構築するノウハウなど、我々だけでは足りないセキュリティの知識もありますので、TISには引き続きサポートをいただきたいと思います」。
お客様の声
H.U.グループホールディングス株式会社
デジタル企画本部
デジタル推進部 兼 グループDX推進課
Senior Specialist
髙田 泰弘氏
H.U.グループホールディングス株式会社
デジタル企画本部
グループDX推進課
苅田 陽平氏
株式会社医針盤
企画管理部
部長
武田 伸太氏
病院やクリニックのお客様視点で見ると、サービス・製品のセキュリティ対策は、“できていて当然”のものだと思います。我々は、その信頼にお応えできるように、リソースをしっかりかけて息の長い取り組みを続けていくことが大事だと考えています。
グループ名の「H.U.」の由来は“Healthcare for You”で、すべての人に最適なヘルスケアをお届けすることが目標です。グループ全体のITインフラは大規模化が進んでいますので、TISにはグループ全体のセキュリティ強化の取り組みに我々と同じ目線で寄り添っていただき、セキュリティのあるべき姿の実現に向けたご支援を引き続き、お願いしたいと思います。
TIS担当者から
TIS株式会社
IT基盤技術事業本部 IT基盤ビジネス事業部
IT基盤ビジネス推進部 チーフ
奥山 暁仁
TIS株式会社
IT基盤技術事業本部 IT基盤サービス事業部
セキュリティサービス部 チーフ
井旗 隆人
プロジェクトを通じてお会いしたお客様全員、セキュリティに対する非常に高い意識をお持ちであることが印象的でした。お客様の継続的なセキュリティ対策の取り組みのうち、今回、脆弱性診断の提供を通じて、第三者かつ専門的な立場でチェック機能の責任を果たし、ご支援できたことをうれしく思います。
今回、H.U.グループホールディングス様・医針盤様にご提案した脆弱性診断は、SaaSやWebアプリ、スマホアプリでサービスを提供するあらゆる業種・業態で有効です。TISは、脆弱性診断資格※を保有しており、過去累計1,000社の脆弱性診断を実施した実績があります。目的や状況にあわせて最適な診断プランをご提案いたしますので、どうぞお気軽にお声がけください。
※TISは「PCI DSSのQSA(認定審査機関)」・「ASV(認定スキャンベンダー)」の両認定を受けている国内4社のうち1社。
※本文中の社名、製品名、ロゴは各社の商標または、登録商標です。