「ゼロトラストのコンセプトは、すべてのネットワーク通信を、特定のデバイスが機能するために不可欠な通信のみに制限することです。基本的には、各デバイスの前にファイアウォールを配置してロックダウンすることに相当し、デバイスがジョブを実行するために必要な通信のみを行えるようにします。それがSSRだと明示されない限り、デフォルトではほとんどすべてをブロックします」– クリス・フレンツ、インターフェイス・メディカル・センター情報セキュリティ部門アシスタント・バイスプレジデント

ネットワークとセキュリティのトピックにおいて、インターフェイス・メディカル・センターは米国で初めてゼロトラストを導入した最初の病院の1つであることが広く知られています。同センターは、ニューヨーク州ブルックリンの居住者に質の高い医療を提供することに専念する非営利組織です。その規模は以下の通りです。

• 病院内ベッド287台
• 在籍スタッフ1,500名
• 年間来院数200,000人
• 年間救急救命室に運ばれる患者数50,000人
• 年間退院者数11,000人

私たちは、インターフェイス・メディカル・センター情報セキュリティ部門アシスタント・バイスプレジデントのクリス・フレンツ氏へのインタビューを通して、病院ネットワークのセキュリティを確保するためにコンプライアンスを超えて考え始める際の、ゼロトラストに対する彼の見解と他の医療組織に対する5つの推奨事項をお伺いしました。

ネットワーク接続された医療機器が急増すると、セキュリティ上の課題が生まれる

最近のニュースでは、病院を標的としたランサムウェア攻撃が繰り返されていることが話題になっています。WannaCryについて検討してみましょう。このランサムウェアは病院内のPCだけでなく、暗号化されたネットワーク接続医療機器も影響を受けます。これは重大な患者の安全性の問題であり、「DoS攻撃」という用語に新しい意味を加えます。

「患者を保護することが私たちの最優先事項の1つなので、ランサムウェアのことを非常に懸念していました」とChris氏は言います。「多くの病院が抱える大きな問題の1つは、院内のネットワークが非常にフラットな傾向があることです。ネットワークがフラットだと、攻撃者が組織内を横に移動し、基本的には新しい組織に単一の妥協点を取り、その妥協点をシステムのより多くの場所に広げることを可能にしてしまうのです」

このような今日のヘルスケア業界におけるセキュリティの課題を、インターフェースはExtremeと提携することで克服しました。ExtremeSwitchingの実装に加えて、インターフェースではExtreme NetworksのAccess Control（NAC）ソリューションであるExtremeControlを使用することで、各PCを独自のマイクロセグメントに効果的に配置し、PC間での横方向の移動をほぼ不可能にしながら、重要な通信を許可するポリシーを実装しています。

ゼロトラストの導入を決定する

ゼロトラストへ移行する決定を評価する際に、インターフェースのIT組織は多くのセキュリティテストを実施しました。「組織内でのマルウェアの発生をシミュレートしました。EICARテスト文字列を使用します。これは基本的に無害な文字列です」とクリスは説明します。

テストにより、すでに実施されているネットワークセグメンテーションが、マルウェア大規模感染発生の拡大を緩和するのに非常に効果的であることが明らかになりました。これにより、インターフェースのセキュリティチームは、ネットワーク内のセグメンテーションレベルを上げることにより、この戦略に基づいてシステムを構築することになりました。「このことを決定したのは、ネットワークアクセス制御ソリューションなどを導入し始めた時でした。これにより、同じヴィレッジ内のデバイスを保護したり、互いに同じスイッチにポリシーを設定したりすることができました。それが、ゼロトラストの実装を始めた理由です」

安全規制への準拠を間違えないこと

ゼロトラストはインターフェースでの標準の操作手順であるため、セキュリティインシデントは最小限に抑えられます。ネットワーク内で偶発的なイベントが発生した場合でも、それらは抑制され、対応しやすくなります。

Chrisが指摘するように、規制に完全に準拠していても安全ではない可能性があります。コンプライアンスは必要ですが、セキュリティの戦略を立てる際はそれを目的にすべきではありません。規制機関に関係なく、すべてのチェックボックスにチェックを入れたとしても、非常に安全性が低いままである可能性はあります。Chrisは言います。「学習教室でDグレードを目指すようなものだと考えてください。目標がコンプライアンスであり、セキュリティ対策を講じる時に、コンプライスの決定時点で止めてしまうと、クラスを合格することはできますが、効果的な仕事をすることはできません」

セキュリティを継続的にテストして、最小要件を満たすだけでなく、戦略が本当に安全であるかを判断することを忘れないようにしましょう。あなたのセキュリティ戦略が標準以下になっていないか確認するために、『コンプライス準拠を超える5つのステップ』をダウンロードしましょう。ゼロトラストネットワークの確立を含む、インターフェース・メディカル・センターにおけるExtremeの実装ストーリーをすべてご覧になりたいですか？ケーススタディ全文を参照するか、ゼロトラスト環境に関するインフォグラフィックをご覧ください。