GSX・BBSのネットワーク脆弱性診断を実施した倉敷中央病院の導入事例がリリースされました

グローバルセキュリティエキスパート — Wed, 05 Nov 2014 10:00:32 +0900

2014年11月5日
グローバルセキュリティエキスパート株式会社／株式会社ビジネスブレイン太田昭和情報セキュリティ研究所
GSX・BBSのネットワーク脆弱性診断を実施した倉敷中央病院の導入事例がリリースされました
◆導入事例内容の概要

岡山県西部の中核的な医療機関であり、病床数1,161床・職員数約3,000人を擁し、救命救急センター、総合周産期母子医療センター、地域がん診療連携拠点病院、地域医療支援病院、岡山県災害拠点病院などの施設認定を受ける、高度医療を担う地域の急性期基幹病院となっている倉敷中央病院は、昨今急激に増加している病院・医療機関への不正アクセスの実害状況を鑑みて、ネットワーク脆弱性診断（プラットフォーム診断及びWebアプリケーション診断の結果分析・報告書作成、運用管理状況調査、報告会実施）を実施しました。実施背景や経緯などの詳細は下記URLよりご覧ください。

倉敷中央病院「ネットワーク脆弱性診断」導入事例：
http://www.tiger1997.jp/case/kchnet.html
*この度ネットワーク脆弱性診断を実施した倉敷中央病院が、当社グループのサービスをどのように活用したのかを倉敷中央病院様に、コンサルティングを担当したBBS情報セキュリティ研究所小田部からインタビューをさせて頂きました。

倉敷中央病院の情報システム部副部長、藤川敏行氏は次のように述べています。

「検査を実施するまでは漠然とした不安があり、いつ何が起こるか分からないという危機感を抱いていました。しかし、検査により判明した脆弱性から想定される攻撃や被害を詳細に解説して頂き、また対策についての方法も具体的にご提供頂けたので、現状で判明している脆弱性は対応できたと考えています。」
「今後は、脆弱性診断のみならず、段階的に体系的な情報セキュリティの強化・整備を実現していきたいと思います。例えば、職員の教育、ドキュメント整備などの情報セキュリティを管理するための仕組みの構築です。今回の脆弱性診断は、今後これらの対策を実施する非常に良いきっかけとなりました。」

◆脆弱性診断とは

ネットワークシステムに内在する脆弱性の有無を診断することを、脆弱性診断と言います。脆弱性診断によって検出した脆弱性に対して対策措置を実施し、システムのセキュリティレベル向上に役立てる事を目的として実施します。

サイバー攻撃などの脅威があり、脆弱性を突かれた場合、実害に至る可能性があります。逆に言えば、脆弱性を突かれなければ（無ければ）、実害には至りません。つまり、脆弱性診断をもとにした対策措置を実施することで、脆弱性を無くしていくことが、サイバー攻撃などの脅威に対するセキュリティレベル向上に直結すると言えます。

◆GSXの提供する脆弱性診断サービス「タイガーチームサービス」とは

GSXの専門エンジニアによる脆弱性診断サービスの総称です。ハッカーと同様の技術を持つ専門エンジニアが、お客様のネットワークシステムに擬似攻撃を実施し、脆弱性の有無を診断します。検出した脆弱性については、その詳細な内容と対策措置までを、結果報告書に取りまとめてご報告します。

TIGER TEAMの由来は、元々米海軍の特殊部隊を表す軍事用語からきており、アメリカでは現在、ハッカーと同様の手口を用いてネットワークシステムの欠陥を調査する専門家チームを表すようになりました。

GSXでも、豊富な経験と高度なセキュリティ技術を持った専門家チームを編成し、タイガーチームを発足させました。と同時にお客様のネットワークシステムのオープン化にともない、1997年にシステムの脆弱性を検査する手法として、ハッカーと同様の手口を用いてネットワークを外部からチェックし、セキュリティホールと呼ばれる不正アクセスが可能なネットワーク上の欠陥を検出してレポートするサービスを、タイガーチームサービスとして提供を開始しました。これらは一般に、ペネトレーションテストと呼ばれています。

また、GSXは2002年3月22日に英国規格協会（BSI）より「BS EN ISO9001:2000」の認証を取得しました。これは、タイガーチームサービスに対し、「ネットワークセキュリティの監査及び評価」の範囲で認証（認証番号FS66176）されたものです。ISO9000による品質保証の証明として、高い技術に裏打ちされたタイガーチームに所属する検査員の豊富な経験を元に、作業手順を定型化しています。それを実施し、記録及び検証することにより、高クオリティの診断サービスを常に維持し続けています。

現在、タイガーチームでは、脆弱性診断サービスだけでなく、セキュアコーディング研修や脆弱性診断に関するガイドライン作成、不正アクセス対策ソリューションの導入支援や不正アクセス対策に関わるアドバイザリーなど総合的なコンサルティングサービスを提供しています。

◆グローバルセキュリティエキスパート株式会社について

社名   ：グローバルセキュリティエキスパート株式会社
本社   ：〒105-0003 東京都港区西新橋 1-2-9 日比谷セントラルビル 21F
代表者：代表取締役社長　松本松仁
資本金： 2億7,000 万円
コーポレートサイト：http://www.gsx.co.jp/
タイガーチームサービス：http://www.tiger1997.jp/
事業内容：
　国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、セキュリティ診断、セキュリティポリシーの導入、リスクマネジメント、システム実装、監視サービスに
いたる広範な情報セキュリティサービスを提供しています。情報セキュリティポリシーの国際標準基準となった英国規格協会（BSI）のBS7799（現
ISO27000）を日本に初めて紹介し、高品質な情報セキュリティコンサルテーションを行っています。
　さらに、高い技術を有し、システムの脆弱性の検出のために侵入検査などさまざまな診断を行う「タイガーチームサービス(TIGER TEAM SERVICE)」や標的型メール訓練サービスを始めと
する新しい脅威に対抗するソリューションをご提案する「サイバーセキュリティサービス」を組織しております。
　「サイバーセキュリティサービス」は、GSXサイバーセキュリティ研究所（GSX Cyber Security Research Institute）を要し、セキュリティ製品評価やサイバー攻撃に関する情報収集及び分析、セキュリティインシデント対応要員の育成を進めており、問題指摘のみならず、インシデントに対する解決策までをワンストップで提供できる体制を整えています。 ?

◆株式会社ビジネスブレイン太田昭和　情報セキュリティ研究所について

社名   ：株式会社ビジネスブレイン太田昭和（BBS）
本社   ：〒105-0003 東京都港区西新橋 1-2-9 日比谷セントラルビル22F
代表者：代表取締役社長　石川俊彦
資本金： 22億3,349万円
コーポレートサイト：http://www.bbs.co.jp/
情報セキュリティ研究所：http://www.bbs.co.jp/service/consulting/security.html

なぜ情報漏えいは無くならないのか？ BBS情報セキュリティ研究所は、この命題に対して、「組織」とそこで働く「人」に着目して真正面から向き合い、その解決策を考えます。特に重点分野としては、BBSグループシナジーを活かした「医療分野のセキュリティ」に取り組んでいます。

昨今、IT技術の進歩や新たなネットワークサービスの進展により、海外からの不正アクセスを含むサイバー攻撃による情報漏えい事故が増えており、病院・医療機関への不正アクセスの実害が発生した事例が出ています。
ネットワークを活用した医療連携やマイナンバーに対応した医療情報の取り組み等、今後ますます病院を取り巻くネットワークサービスの重要性は増して行きます。
また、インフラ産業へのサイバー攻撃事例にもあるように、外部ネットワークに接続していない制御機器においても、思いがけない方法で情報漏えい事故が起きる可能性があり、病院のシステム全体で安全対策を講じる必要があります。
そのためには、ネットワーク脆弱性診断を実施することで、現在の病院ネットワークとシステムの弱点（脆弱性）を見極め、「システム」に加えて「組織」と「人」の観点から、実現可能な対策を検討することが重要です。

BBS情報セキュリティ研究所は、医療現場における情報漏えい事故の本質を見極め、情報をいかに安全に利用するかを主眼においた病院・医療機関の情報セキュリティを提言します。

法人別リリース

GSX・BBSのネットワーク脆弱性診断を実施した倉敷中央病院の導入事例がリリースされました