皆さん、こんにちは。もうすぐクリスマスですね。
こちらの投稿は vExperts Advent Calendar 2023 の 12月16日の記事になります。
今年は電子カルテの仮想化基盤の大幅にリプレイスしました。
インスタントクローンとVMware Carbon Black Cloud Workloadの組み合わせでの電子カルテは国内初ではないでしょうか。
医療情報システムの安全管理に関するガイドラインが6.0版に改正され以下のようにセキュリティソフトの推奨事項としてEDRの名称が明確に書かれていました。
以前までの医療業界はウイルス進入時のパターンマッチングだけのものが多かったと思いますが、EDRでは侵入後の検出/調査/対応/回復に対応し、監視下のエンドポイント全体を総合的に分析して関連付けるといったことが可能になります。今回、当院で導入したVMware Carbon Black Cloud Workloadに関してはNGAVも含んでいるので脅威の特徴や行動を監視、ふるまい検知などもカバーしています。ただ、攻撃は100%は防げないことを前提に侵入後対策を考えていくことは今後ますます重要になっていくとは思います。
従来のパターンマッチングだけでなく、EDR(Endpoint Detection and Response)によるスコアリングを活用し、疑わしい挙動を監視します。もし異常が検出された場合、脅威のスコアが付与され、それに基づいて被害の特定と対処が行えます。
さらに、Carbon Black Workloadを使用して、仮想基盤とも連携しました。これにより、電子カルテ端末(VDI)だけでなく、仮想サーバーにもEDRを展開し、ラテラルムーブメントによる被害を早期に検出し、対処できるようになりました。
ちなみに、ラテラルムーブメントとは、外部の攻撃者やマルウェアが内部ネットワークの侵入に成功した後、ネットワーク内を横移動し侵害範囲を拡大していく攻撃手法のことです。
Horizonのインスタントクローンにより、利用者が電子カルテの利用を終了(仮想デスクトップからログアウト)すれば仮想マシンごと初期化(再作成に約10秒)されるといった運用が可能となります。
仮想マシンが初期化されることにより、万が一脅威が侵入した場合においても潜伏期間を与えず、電子カルテ基盤を常に安全な状態(マスターイメージの初期状態)を維持しやすいというメリットが得られます。
ランサムウェアの潜伏期間は15日間という結果がでております。よって、潜伏期間を与えないというのは大きなアドバンテージではないかと考えます。
ただ、間違いなく言えるのは、今後はさらにゼロトラストの概念が必要になるかなということです。導入は入り口に過ぎず、チューニングやメンテナンスと日々勉強です。
最後まで読んでいただき、ありがとうございました。
皆様、良い年を!!
by koppun
