2026年7月15日水曜日

Japan VMUG vExpert が語る #56 Session Speaker P2Vのおさらい

 Japan VMUG vExpert が語る #56にてP2Vのおさらいも兼ねて、

ロックされたパスワードの『物理的』デプロイ~旧電カルP2Vと2026年サブプログラムの報告~

というタイトルでLTさせていただきました。
医療IT業界の悪しき風習のベンダーロックオンをP2Vで粉砕(笑)

そのうちベンダー名出した上で公の場で話すのでこうご期待!!


2026年6月12日金曜日

VDI環境におけるICカードリーダーの認識

 医療業界では、電子カルテに2027年目途に多要素認証を適用することが推奨されています。
たぶん、そのうち期限切って義務化に向かうでしょう。

今回、電子カルテメーカーを変えるためにCPUの関係でESXiを1Node足しました。
ノード追加の時もすんなりはいかなかったが、そこは色々KB見てやりました(笑)

職員証にICチップを内蔵しているため、VM上にリダイレクトさせる必要があります。
展開の部分はインスタントクローンを使うためにOmnissa Horizonを入れています。

USBリダイレクトは元々、ONにしていたのでとりあえず挿したら反応するかな…(発想が安易すぎた)

うんともすんとも言いません(笑)




結論から言うと、HorizonでのICカードリーダーの扱いが、どちらかというと有線のマウスやキーボードに近い扱いみたいで…

一応、ドライバがあったのですが、ドライバはゴールドマスターに入れるわけではなく、シンクライアント端末に入れる必要がありました。シンクライアント上でまずはデバイスとして認識させる必要があります。

ここがポイントですが、ゴールドマスター上のレジストリにカードリーダーのカードリーダーのベンダーIDを登録してやる必要があります。

登録先は以下です。

コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB

IncludeVidPid

m:vid-056A_pid-****;vid-054C_pid-****

赤字の部分が今回の追記した部分になります。
当院ではSONYのPaSoRiを使いましたが、他のカードリーダーでもVDI上ではおそらく同じ動きをするかと思います。
※インスタントクローンでもフルクローンでも同じ動きでした。

いやぁ…
書いてることは簡単ですが、あまり情報がなく四苦八苦しました(-_-;)

これから医療機関でも多要素認証が進んでいくと思いますが、VDIでカードリーダーを使う方の参考になれば幸いです。







2026年6月2日火曜日

vExpert Special Honors Subprogramの結果

 vExpertも4年連続となり、今回も Special Honors Subprogramのエントリーはしてました。
昨年まで2年連続vExpert Securityをいただいていましたが、2026年もvExpert Securityを受賞でき、3年連続の受賞となりました。

また、今回はvExpert VCF 2026も受賞でき、光栄に存じます。
VCFはまだまだ手探りな部分がありますが、引き続き検証していきたいと思います。

医療業界もSecurityに関しては色々、仲間と共有して研鑽していきたいと思います。



2026年4月28日火曜日

Japan VMUG vExpert が語る #54 Session Speaker

4月22日に開催されたJapan VMUG vExpert が語る #54にて
Session Speakerとして登壇させていただきました。

今話題のベンダーロックオン問題などを交えて、病院情シスvExpertとして話させていただきました。
ぜひ!!ご覧ください。


2026年4月24日金曜日

医療機関におけるZero Trust実装:VDI・NSX・Carbon Blackで実現する多層防御アーキテクチャ

 医療機関におけるITインフラは、単なる業務基盤ではなく「止めてはいけない社会インフラ」です。特に電子カルテを中心としたシステムは、可用性とセキュリティの両立が強く求められます。

近年、ランサムウェアをはじめとするサイバー攻撃は高度化しており、従来の境界防御モデルだけでは対応が困難になっています。そこで重要となるのが「Zero Trust」の考え方です。

本記事では、当院で実際に運用している仮想基盤をベースに、VDI・NSX・Carbon Blackを組み合わせた多層防御アーキテクチャについて解説します。

全体アーキテクチャ

本環境では、エンドポイント・ネットワーク・ワークロードの3層でセキュリティを設計しています。

 図①:全体構成(Zero Trustアーキテクチャ)

[ ユーザー ]

     ↓

[ VDI (Horizon / Instant Clone) ]

     ↓

-------------------------------

|        仮想基盤 (vSphere)     |

|                              |

|  [ NSX マイクロセグメント ]   |

|      ↓        ↓        ↓      |

|   EMR     部門システム   管理系 |

|                              |

| [ Carbon Black Workload ]     |

-------------------------------

     ↓

[ vSAN ストレージ ]

① エンドポイント対策:VDI × Instant Clone
従来の物理PC中心の運用では、以下のリスクが常に存在していました。

* 端末紛失による情報漏洩
* マルウェア感染の持続
* パッチ未適用端末の存在

これに対し、VDI(Horizon)とInstant Cloneを活用することで、

* セッション終了時に環境をリセット
* データを端末に保持しない
* 常にクリーンなOSを提供

という仕組みを実現しています。

図②:従来PC vs VDI比較


② ネットワーク対策:NSXによるマイクロセグメンテーション
院内ネットワークでは、従来フラットな構成が多く、侵入後の横展開(ラテラルムーブメント)が大きなリスクでした。

NSXを活用することで、

* システム単位で通信を制御
* 不要な通信を完全遮断
* 最小権限の通信のみ許可

という設計を実現しています。

図③:マイクロセグメンテーション概念
[ VDI ] → [ EMR ] (許可)
[ VDI ] → [ 管理サーバ ] (禁止)

[ 部門A ] → [ 部門B ] (禁止)
[ 管理端末 ] → [ 全体 ] (許可)

③ ワークロード対策:Carbon Black Cloud Workload

仮想マシン自体の保護として、Carbon Black Cloud Workloadを導入しています。

これにより、

* リアルタイム脅威検知
* 振る舞いベースの防御
* ハイパーバイザーレベルでの可視化

が可能になります。

図④:多層防御モデル
[ エンドポイント ] → VDI
[ ネットワーク ] → NSX
[ ワークロード ] → Carbon Black
















医療におけるZero Trustの実装

本構成のポイントは以下です。

* エンドポイントを無信頼化(VDI)
* ネットワークを分割(NSX)
* ワークロードを監視(Carbon Black)

これにより、

「侵入されても被害を最小化する設計」

を実現しています。

医療機関においては、セキュリティと可用性はトレードオフではなく、両立すべき要素です。

今後も、仮想基盤を中心としたセキュリティアーキテクチャを進化させながら、安全で持続可能な医療IT基盤を構築していきます。