次期電子カルテ導入を見据えた、仮想化基盤の「高速化・拡張」とEDRによるセキュリティ対策

 

電子カルテの載せ替えに関してもテストプールを作成しラボ的に活用することで、実環境に近い形で2要素認証や仮想化基盤の増強を、医療現場の業務を止めることなくシステムのバージョンアップが可能となる点は、大きな利点です。

「侵入前提」時代の最適解？Carbon Black Cloud導入後の運用変化と本音

 境界防御だけでは防げない、はもはや常識。
当院も「侵入前提」の対策としてEDR導入を検討し、最終的にVMware Carbon Black Cloud Workloadを選びました。

決め手はVDI環境、特にInstant Cloneとの親和性です。マルウェア感染を100%防げない以上、感染後の迅速な検知と封じ込め、そして影響範囲の特定が重要。Carbon Blackは脅威の振る舞いをスコアリングし可視化してくれるため、アラートの優先順位付けが容易になりました。以前は膨大なログからインシデントの兆候を探すのに苦労していましたが、今は管理コンソールで一目瞭然。

怪しい挙動があれば、その仮想マシンをネットワークから隔離したり、詳細調査を開始したりといったアクションを迅速に取れます。また、Instant Cloneのリフレッシュ機能と組み合わせることで、万が一侵入されてもログアウトで初期化されるため、ランサムウェア等の潜伏・発症リスクを大幅に低減できる点も運用上大きなメリットです。SaaS型である点も、管理サーバー構築の手間が省け、運用負荷軽減に繋がっています。  

EDR選定、決め手は？Carbon Blackと他社製品（Deep Security等）を運用視点で考える

 EDR導入検討時、私も当院の環境にどれがマッチするか複数の製品を比較しました。

VMware Carbon Black Cloud Workloadの他に、Trend Micro Deep Securityなども有力な候補でした。rend Micro Deep Securityは現状も使っています。

各製品に特長がありますが、最終的にCarbon Blackを選んだ理由は、やはりVMware環境との親和性、特にHorizon VDI（Instant Clone）との連携の深さです。仮想環境に特化した保護機能や、vCenterとの連携による管理の容易さも魅力でした。また、NGAV機能も統合されており、単一エージェントでEPP＋EDRを実現できる点も運用負荷軽減に繋がると判断しました。
一方、Deep Securityは、物理/仮想/クラウド混在環境での豊富な実績や、IPS/IDS機能なども含めた統合的なサーバーセキュリティプラットフォームとしての強みがあります。
どちらが良いかは、既存のインフラ環境、重視する機能、運用体制などによって変わってくるでしょう。我々の環境では、VMware中心の仮想化基盤とのシームレスな統合と、Instant Clone環境でのセキュリティ運用効率を最重視した結果、電子カルテインフラにはCarbon Blackが最適という結論に至りました。

↑NSX-Tと連携したTrend Micro Deep Securityの自動隔離機能

VDIと親和性の高い、ウイルスソフトも他メーカーさんからも次々と開発されているので、次のリプレイスに向けて情報収集はすでに開始してますよ。