Comments
Description
Transcript
IT を安全に利活用できる強固なセキュリティインフラが求め
Microsoft の病院向けソリューション 医療の IT 化における安全性を支える 病院セキュアインフラ ソリューション 日本マイクロソフト株式会社 本資料の内容 • • • 院内医療および地域連携におけるセキュリティの課題 IT 利活用とセキュリティリスク Microsoft のセキュアインフラ ソリューション概要図 Windows Server 2008 R2 Active Directory 包括的な認証基盤の構築 System Center 2012 Configuration Manager 資産管理から構成管理までを統合管理 System Center 2012 Endpoint Protection クライアント端末の保護 Windows Server 2008 R2 Network Access Protection 端末の検疫で院内ネットワークを保護 Forefront Threat Management Gateway 2010 安全で快適なインターネットアクセス Forefront Unified Access Gateway 2010 より安全なリモートアクセス Windows Server 2008 R2 Remote Desktop Services 院外から院内アプリケーションを安全に利用 • 複数レイヤーでセキュリティ対策を講じる多層防御 2 院内システム、地域連携ネットワーク、さらにインターネットを介した遠隔医療など、医療における IT 利活用の場面は、ますます広がりをみせています。 それに伴い、セキュリティの課題が存在しています。 地域連携 院内医療 IT 管理者の不在 • システム管理、運用の不安 • 医療情報の利活用状況が把握不可 インターネットでの機密情報共有 患者情報の保護 • 情報漏洩対策 • アクセス管理の徹底 システムの安定稼働 • システムダウン対策 • 負荷分散、運用効率向上 外部 PC の持ち込み対策 • 個人 PC の利用対策 重要なデータの保全・保管 • データのバックアップ • 書き換え、更新の制限 コンプライアンスの強化 • 患者情報の漏洩対策 • ウィルスや悪意ある攻撃への対策 • ライセンス管理 • ハード、ソフトの資産管理 システム利用状況の監視 • 不正アプリケーションの禁止 • IT 投資計画のための情報収集 安全なインターネット利用 • ウィルス、マルウェア対策 • モバイル環境でのアクセス 自宅 院外への情報の持ち出し • 自宅作業のためのデータコピー • USB やメディアでのデータ持ち出し 緊急時の医療情報共有 • インターネットでの医療情報共有 • メールでの重要事項連絡 3 IT 化による 高度医療の実現 ・患者への医療サービス向上 ・医療の継続性、連携性の向上 ・医療業務、事務作業の効率化 ・スムーズな情報共有 ・患者の個人情報の保護 ・システム保護と常時稼働の維持 ・医療連携の安全性と利便性の確保 ・膨大な電子情報の運用と保管 電子化による情報の 安全性の不安 医療サービスの向上、地域医療連携の実現、病院スタッフの業務負荷の改善、病院経営の効率化など、 これからの病院運営において IT が担う役割は非常に大きく、ますます重要になってきています。 一方で、情報化やネットワーク化によって生まれるリスクも、また大きくなっています。 今、医療機関には IT を安全に利活用できる強固なセキュリティインフラが求められています。 4 アプリケーション の画面表示を転送 情報システム系 ・電子メール ・グループウェア 自宅 地域連携 Internet PC の検疫 ネットワークの 出入口を守る 医局 物流 薬局 検査 医事 電子カルテ システム 管理部 オーダリング システム 医局 物流 クライアントPCの保護 薬局 検査 IT資産管理・構成管理 医事 認証基盤 管理部 業務システム系 (医療情報システム) ・電子カルテシステム ・オーダリングシステム ・各種部門システム ・医事会計システム 5 Active Directory を導入することにより、院内および医療連携ネットワークを構成する ID とアクセスを一元管理する ことができます。また、ユーザーおよびコンピューターの管理の簡素化、院内システムへのシングル サインオン (SSO) アクセス、データへのアクセス制御の強化も可能です。 柔軟で強固な認証基盤として 院内システムを包括的に管理 Active Directory を利用することにより、グループ ポリシーの設定、ID、パスワードの一元管理が可能 になり、さまざまなシステムを統合する認証基盤と して機能します。 ユーザーは複数のシステムを一つのID、パスワード で利用できるようになり、利便性の向上とともに、 安全性も確保できます。 薬局 物流 ID : tanaka PWD:1041 認証 検査 ユーザー 院内のシステムを一つの ID、パスワードで利用可能 医局 医事 編集 or 読み取り 統一 ID による各システムにおける 認証・権限を連動 Active Directory の ID を利用することにより、 各システムや共有リソースに対する認証に加えて、 変更権限・閲覧権限などの適正なアクセス権の管理 を実現。 管理部 (総務等) 権限 認証 アカウント 配布グループ 権限 閲覧 or 投稿 or 管理者 6 System Center Configuration Manager を導入することにより、院内のサーバーやクライアント PC を一元的に管理 できます。 構成情報の管理、パッチやソフトウェアの配布、OSの展開に加え、不適切な設定やポリシーに適さないア プリケーションの利用などを監視・制御します。 リモート ユーザー ハードウェアからソフトウェアまで 総合的な IT 資産管理を実現 System Center Configuration Manager は、 モバイルデバイス 正確かつ詳細な資産情報(インベントリ)を も管理 自動的に収集します。 IT 構成情報をデータベースと照合することで 状態を把握し、投資計画やセキュリティ対策 に反映することができます。 端末に必要な構成の配布や 標準構成の一括配布で構成を管理 PC やサーバーの環境をチェックし、必要な パッチやソフトウェアを配布します。 また、OS 展開から各種設定までを一元的に 管理し、標準構成として配布できます。 インターネットを介して自宅や病院外、他施 設から接続するシステムの管理もできます。 構成ベースライン 情報 管理者が定義した構成アイテム やダウンロードした構成管理テ ンプレートをインポート OS の展開、 ソフトウェア の配布 正確で詳細な資産 情報を自動的に取得 IT 資産情報と照合 市販アプリケーション のデータベース 管理者 IT 資産情報と 構成情報をレポート 7 System Center Endpoint Protection を導入することにより、ウイルスやスパイウェアなど、あらゆるマルウェアから 院内のクライアント PC を守ります。また、同時に脆弱性の検査も行い、セキュリティ対策を徹底します。 端末のセキュリティを統合的に管理 System Center Endpoint Protection により、各端 末に展開されたエージェントがマルウェアをリアル タイムに検出し、適切かつ迅速な駆除を行います。 また、更新プログラムの適用状況、不要なサービス、 無期限のパスワードなど、脆弱性も自動的に検査し ます。 脆弱な構成 ウイルス ワーム 監視 監視 スパイウェア トロイの木馬 キーロガー ルートキット ボットなど 監視 ファイルの 出し入れ 監視 組織のセキュリティを向上させる 管理者への支援 監視 匿名アクセス 不要なサービス 設定ポリシー の強制適用 単一コンソールでの一元管理により、状況把握と迅 速な対応を支援します。 自動的に作成されるレポートと集中管理用ダッシュ ボードが説明責任を強力にサポートします。 分かりやすく詳細なレポート レポート 脆弱性検査項目 Windows バージョン 自動更新設定 セキュリティ更新プログラム 未完了の更新 匿名接続の可否 ファイルシステム 自動ログオン 共有フォルダリスト 不要なサービス ゲストアカウント 無期限のパスワード 危険な管理者グループ 管理者 問題の原因特定 迅速な対処 8 Network Access Protection (NAP) を導入することにより、ポリシーに適合しない PC の院内ネットワークへの接続を 制限し、ウイルス感染や不正アクセスなどを防止します。 持ち込み PC や不正アクセス対策に ネットワークアクセス保護( NAP ) さまざまなアクセスポイントから ネットワークに安全に接続 地域の専門病院 院内ネットワーク 地域の診療所 実施ポイント (サーバー/デバイス) 自宅 ② 問合せ ④ NG! RD ゲートウェイ ③ポリシー を確認 ネットワーク ポリシー サーバー 持ち込み個人 PC 不正アクセス × ⑥ポリシーに合致 しないことを通知 修復サーバー ( WSUS、Web サイト等) ⑦修復サーバーを使って 自動/手動でアップデート 更新プログラム、アンチウィルス、 アンチスパイウェアプログラムを 自動的に最新バージョンに更新 + Windows Server の NAP を導入すること で、あらかじめ設定したポリシーに適合し ない PC の院内ネットワークへの接続を制 限することができます。 これにより持ち込み PC よるウイルス感染 や、院内システムへの不正なアクセスなど を防止できます。 NAP の主な役割 ポリシーによる PC の健全性の検証 健全でない PC に対するネットワーク制限 PC を健全化する修復手段の提供 健全化された PC への動的なネットワーク 制限の反映 NAP と組み合わせることで、院内ネット ワーク接続時に自動的にウィルス対策を 最新バージョンへ更新します。 9 Forefront Threat Management Gateway (TMG) を導入することにより、利用者に対する Web サイトの公開など、 院内システムへの外部からのアクセスに、安全で快適な利用環境を提供します。また、不正アクセスやサイバー攻撃な どから、院内システムを保護します。 既存の IT 環境にゲートウェイとして 加えることで、より安全で効率的な アクセス環境を構築 Forefront Threat Management Gateway は、Webを使った情報公開や診療予約など のサービスを、安全に提供できる、豊富な 公開ウィザードを備えています。 水際 (ネットワーク エッジ) で防御し セキュアなネットワークの実現 不正アクセスやサイバー攻撃などからサーバー を強力に保護します。 院外からはもちろん、院内からのアクセスにつ いてもログ情報を保管し、情報漏えいなどの原 因特定と迅速な対処を可能にします。 悪質なサイト ウイルス / スパム への接続 の侵入 不正侵入 / DoS 攻撃 安全なサイト への接続 連携医療機関 / 自宅からの接続 Internet 安全な Web アクセス 電子 メール 保護 侵入防止 ファイア ウォール 安全な リモート サーバー アクセス の公開 10 Forefront Unified Access Gateway (UAG) を導入することにより、ファイルサーバーなどの院内の情報資源への院外 からの安全なアクセスを可能にします。端末の認証・検疫を行うことにより、病院のセキュリティポリシーに反する端 末に対しては、利用を制限できます。 ユーザーの情報とデバイスの状態に応じた アプリケーションの利用制限 Forefront Unified Access Gateway は、ユーザー 認証に加えて端末の状態を検査します。 認証したユーザーが利用権限を持ち、端末の状態が 条件を満たすと、アプリケーションを利用できます。 また、NAP と連携することで、条件を満たしてい ない端末を修復して、アプリケーションの利用制限 を回避することができます。 Windows OS 暗号化通信 HTTPS どこからでも、どの端末からでも安全に 接続可能 専用ソフトウェアを必要とせず、Webブラウザ からアクセスするだけで、いつでも、どの端末 からでも必要な院内の情報資源に接続できます。 MAC OS Internet Linux OS 認証基盤と連携 11 Remote Desktop Services (RDS) を導入することにより、サーバーで集中管理されたアプリケーションを、院外から 安全な方法で利用できます。院外のクライアント PC には、アプリケーションの画面表示だけが転送され、データは保 存されないため、安全性と利便性の両立が図れます。 画面のみでデータを転送しないから 安全に利用可能 電子カルテ 救急情報 診療マニュアル等 地域連携 医療施設 RD ゲートウェイ VPN を必要としな い WAN アクセス XPS 形式で 印刷データを送信 自宅 PC にはアプリケーションが インストールされていなくても、 サーバー側のアプリケーション を使用できる 院内 クライアント TS ゲートウェイ RemoteApp アプリケーション 画面だけをやりとり 実施ポイント (サーバー/デバイス) 自宅 ネットワーク ポリシー サーバー 患者情報閲覧、 報告書作成、 緊急対処情報等 RD Web アクセス Webブラウザから RemoteApp を起 動 リモート デスクトップ サーバー Remote Desktop Services (RDS) を導入す ると、クライアント PC にはデータを保存せず に、サーバー上で実行されるアプリケーション の画面表示のみが転送されます。 RD Easy Print クライアント側の ドライバで印刷 NAP RD ゲートウェイと NAP を組み合わせることで、 アクセス時のセキュリ ティをより強固にするこ とができます 使い勝手を維持したまま、安全性の 向上と管理コストを削減 VPN を必要としないリモートデスクトップ サービスの利用や、クライアント PC のプリ ンタドライバーを使った印刷出力など、クラ イアント PC 内のアプリケーションと同様に 使用できます。 アプリケーションをサーバー上で実行するこ とにより、集中管理と PC 管理コストの低減 が図られ、安全性と利便性の両立が図れます。 12 全体に適用される セキュリティ ポリシー 文書化、ユーザー教育 ネットワーク境界部 ファイアウォール、VPN、侵入検知、 ネットワーク、IPSec 内部ネットワーク 無線LAN セキュリティ、拠点間 VPN ホスト OS の設定、ウイルス対策、 更新プログラム管理、安全なサーバーの公開 アプリケーション セキュリティで保護された電子メール環境、 ユーザー認証、アプリケーションフィルタリング 物理セキュリティで 完全に防御 警備員、施錠、ビデオカメラによる 監視、入退室管理 データ ACL、暗号化 13 お問い合わせ 本ご案内に関しまして、ご興味または疑問な点がございましたら、 お気軽にお問い合わせくださいますよう、よろしくお願い申し上げます。 本件に関するご相談、お問い合わせはこちらへ ■メールでのお問い合わせ [email protected] © 2012 Microsoft Corporation. All rights reserved. ※ Microsoft、Microsoft ロゴ、Active Directory、Forefront、Office ロゴ、RemoteApp、Windows、Windows ロゴ、Windows Serverは、米国 Microsoft Corporation の米国およびその他の国におけ る登録商標または商標です。 ※ その他、記載されている会社名および製品名は、各社の登録商標または商標です。 ※ 記載の内容は 2012 年 4 月現在のものです。内容については予告なく変更される場合があります。予めご了承ください。 製品に関するお問い合わせは、次のインフォメーションをご利用ください。 ■インターネットホームページ http://www.microsoft.com/japan/business/industry/healthcare/default.mspx ■マイクロソフト カスタマーインフォメーションセンター 0120-41-6755 受付時間 9:30~19:00(平日12:00~13:00、土日祝祭日、弊社指定休業日を除く) ■マイクロソフト ボリュームライセンスコールセンター 0120-737-565 受付時間 9:30~19:00(平日12:00~13:00、土日祝祭日、弊社指定休業日を除く) ※電話番号のおかけ間違いにご注意ください。 日本マイクロソフト株式会社 パブリックセクター統括本部 〒 108-0075 東京都港区港南2-16-3 品川グランドセントラルタワー