CHCPグループ様
導入事例

導入サービス

Internal Risk Intelligence
(内部脅威検知)

CHCPグループ

業界:医療・ヘルスケア業界
担当部署:情報システム部 
担当者:シニアマネージャー 野笹敦宏 様
    シニアアソシエイト 平野大介 様

関連タグ

「日本の誇る医療体制により、誰もが安心して暮らせる社会を維持すること」を目指すCHCPグループは、ITガバナンスの確保により健全に保たれた情報システムこそが、同グループの取り組みを支えると考えている。サイバー攻撃への対策を進めると同時に、グループ内の内部統制を強化する目的で「内部脅威検知サービス」を導入した理由を、情報システム部の野笹氏と平野氏に話を聞いた。

日本の医療体制を維持するという社会課題

保険証さえあれば「いつでも」「誰でも」必要な医療サービスが受けられるという、世界一とも言われる日本の国民皆保険制度は、医療・ヘルスケア業界に従事する方々の献身によって支えられてきた。しかし現在、少子高齢化の進行や人口減少、そして社会保障費が国家財政を圧迫しているという社会の状況に対して強い危機感を抱いたことがCHCPグループの事業活動の根幹を成している。

病院、調剤薬局、在宅サービス、歯科医院といった地域に点在する多様な医療・ヘルスケア機関をつなぐプラットフォームを構築することで、すべての患者により包括的なサービスを提供できる体制の実現を目指している。単独の経営では困難な人材の確保、ナレッジの共有、ICT化の推進を、グループという一つの「チーム」として集約し推進することによって、これまで以上に効率的でサステナブルな働き方を可能にするという、社会的意義の大きな事業を展開している。

CHCPグループの社風と社員の倫理観

「地域医療の未来を守る」という社会的意義のある取り組みを進めるCHCPグループにおいて、組織を構成する社員の意識を高く保つための取り組みを重要視している。同グループは医療や介護支援に深く携わっており、患者の極めて機微な個人情報を預かる立場にある。

野笹氏:当社の社員は、情報を適切に扱うことや、決められた手順を厳密に守るといった職業倫理感を持っています。バックオフィス部門であっても全社員がそのことを意識していて、これが当社のセキュリティの土台となっていると考えています。

同グループでは社員の意識を維持するため、グループ全体的な研修を継続的に実施している。しかし、全社員が常に高い危機意識を持ち続けることの難しさも認識しており、研修の実施で終わらせるのではなく、日常業務の中でセキュリティを自然と意識し実践できる環境づくりを工夫している。

そのひとつとして、同グループの社風が挙げられる。経営層から現場の担当者に至るまで、分け隔てなく対等な立場で意見を言い合える、フラットで風通しの良い社風が醸成されている。経営層が社内の懇親会などに積極的に参加し全体を和やかな雰囲気にしていることも、社員同士の連帯感と高い倫理観を共有する助けとなっている。

情報システム部門の役割

CHCPグループは、それぞれの医療分野を統括的に管理運営する株式会社CHCPホスピタルパートナーズ(医療法人・医科)、CHCPファーマシー(薬局)、CHCPホームナーシング(在宅)、CHCPデンタル(医療法人・歯科)など、複数の企業や多くの医療法人が集まり構成されている巨大な組織である。全国に500以上の拠点、8,000名を超える従業員を擁し、病院、薬局、歯科医院など多岐にわたる医療機関が参画している。こうしたグループ全体の情報管理を中核として担っているのが情報システム部である。

現在、情報システム部は10名を超える体制で運営されており、各医療機関のIT担当者と連携を取りながらグループ全体のシステムを支えている。情報システム部の野笹氏は、全体の管理責任者として部門の方針策定や優先順位付けを担い、平野氏は現場リーダーとして実務面の推進役を担っている。

平野氏:医療機関ごとに、例えば薬局と歯科医院では使われているシステムが全く異なるなど、多種多様なシステム環境が存在する中で、全体をまとめ上げることは大変です。

グループ全体のセキュリティ対策の推進、全社的な教育訓練の企画、そして膨大なデータの保護こそが、彼ら情報システム部に課せられた、極めて重要な役割だ。

情報システムの位置づけと、ITガバナンスの必要性

社会的に重要な役割を担うCHCPグループにおいて、情報システム部門は単なるバックオフィスの一機能ではなく、事業を支える重要な「インフラ」であり、現場の業務品質向上や経営判断を根底から支える機能であると明確に位置付けられている。特筆すべきは、組織のトップから全社へと深く浸透している点である。

サイバー攻撃による被害が甚大化する中、ITを便利に活用するだけでなく、適切なITガバナンスのもとで安全に運用することが強く求められている。CHCPグループの経営層は、「ガバナンスはコストではなく、事業を展開するための必要条件である」という確固たる理解を持っている。そのため、現場の実情を踏まえた上で優先順位を付け、段階的にルールを整備していくという意思決定が経営レベルで強力に支えられているのだ。

野笹氏:情報システム部からのボトムアップの提案に対して、組織運営、ひいては社会的に意義のあるものであれば経営層がしっかりと受け止めてくれています。セキュリティ対策は、事業継続性や社会からの信頼をいただくための必要条件である、と認識してくれているからこそ推進が可能となっています。

内部脅威対策に取り組むことになった経緯

近年、病院など医療関係組織へのランサムウェアをはじめとするサイバー攻撃が頻発しており、システムダウンによってカルテが閲覧できず、医療提供が停止してしまうという深刻な事案が相次いでいる。CHCPグループにおいても、こうした外部からのサイバー攻撃に対する外部脅威対策には粛々と対応を進めてきていた。しかし一方で、もう一つの大きなリスクである「内部脅威」への対策については、これまで十分に着手ができていないという課題意識を抱えていた。

情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威」においても、内部不正による情報漏洩や業務停止のリスクは常に上位に登場しており、決して軽視できないテーマである。特にCHCPグループが取り扱うデータは、患者の個人情報など極めて秘匿性や機微性が高い医療・介護に関わる情報であるため、内部からの情報漏洩が発生した場合のダメージは計り知れない。

こうした背景から経営層の強い危機感もあり、問題が起きてから事後的に対応するのではなく、内部脅威を未然に検知し、抑止できる体制を構築すべく、情報システム部として本格的な取り組みを推進することとなった。

内部脅威対策に求める期待

内部脅威対策を進めるにあたり、CHCPグループが目的としたのは、「万が一の兆候を早期に捉えて、実被害が出る前に手を打てる状態にしたい」という点である。重大な内部不正事案に対して認知が遅れてから調査や対応を行うことは、想像を超えた大きなダメージにつながる可能性を深刻にとらえたものだ。もちろん、ダメージのリカバリーには、対策の何倍もの莫大なコストと労力がかかる。

内部脅威対策は、出来心による不正やミスが発生した背景を調査・理解すること、そうした事案につながる前の予兆を捉えることを目的に行われるものだ。

平野氏:内部脅威対策は、社員を信じているからこそ、社員を事案から守るために導入するものです。例えば、通常業務などでミスが発生してしまった場合などにも、業務量や業務プロセスから根本原因を探るときなどにも活用できるのではないかと考えています。

システムによって守られているからこそ、社員は安心して日々の業務に集中することができる。抑止と早期発見を両立させ、安全な労働環境と事業の継続性を守り抜くことこそが、内部脅威対策に対する期待なのである。

内部脅威対策を行う際の課題

内部脅威対策を進める重要性は明確であったものの、実際に自ら単独で運用するとなると、立ちはだかる課題は決して小さくなかった。

グループ内には多様な部門と多くの社員が存在し、業務上、日常的に重要な個人情報にアクセスする環境にある。全社員のPC操作ログ、ネットワークのアクセスログ、認証ログなどを収集するとなると、そのデータ量は膨大となる。SIEMなどによるログ管理の効率化も検討したが、単にデータを蓄積するだけでは不十分であり、内部脅威を分析するノウハウが必要となる。

日々の多様なシステム運用業務をこなしながら膨大なログを管理し、重要な兆候が埋もれないように分析し続けなければならないが、相関分析のルールの定期的な評価やチューニングを行い、システムを最適化し続けるための運用の負担とコストは、現在の情報システム部の体制であっても自らリソースだけで賄うには難しい。

餅は餅屋、ログ分析をアウトソースする価値

こうした課題に直面していた折、ある展示会にセキュリティ対策に関する情報収集に訪れた野笹氏は、エルテスが提供する内部脅威対策サービスを知ることとなった。自社で内部脅威検知を運用するのではなく、専門のアナリストにログ分析をアウトソースするアプローチである。アナリストとログ分析について相談を重ねる中で、内部脅威の考え方、ログの取得方法、そして内部脅威の予兆の過検知への対策などについて理解が進んだ。

その後、本運用を前提とした約3か月のPoC(概念実証)を実施した。この期間中、膨大なログからノイズを除去し、精度の高い分析を行うためのチューニングに苦労したが、アナリストからの的確な提案と支援を受けながら、運用イメージを具体的に持つことができた。

野笹氏:専門家による行動分析を実施してもらうことで、情報システム部だけでは気付くことができなかった内部脅威の可能性を具体的に把握できるようになったと感じています。やはり餅は餅屋ですね。

最終的に、納得できる状況となったことで本番導入を決断した。もちろん、導入して終わりではなく、運用を継続する中で日々の業務実態に合わせた除外設定など、引き続き最適化を続けている。

「内部脅威検知サービス」を利用しての感想

最初は、対応コストの削減や情報システム部のリソース不足を補う目的から、自社で運用をしきれない部分のアウトソース化として導入を考えたサービスであった。しかし、エルテスのアナリストと相談を繰り返す中で、その価値は単なる業務代行を大きく超えるものだと実感することになった。

平野氏:特に私が評価しているのは、アナリストからのプロアクティブな提案です。『この挙動は優先的に見た方がよい』『こういう観点でも脅威として見られる』といった、専門家ならではの脅威要因の提示をいただき、自社だけでは得られない気付きがありました。

さらに、情報システム部からの細かい質問や除外設定の要望に対する回答スピードも速く、ストレスなく運用できている。
また、ログから従業員による未認可のAIサービス利用(シャドーIT)の実態が浮かび上がるなど、社員が利用しているサービスを認知できたことなど、想定外の副次的な効果も得られている。

野笹氏:専門家による行動分析を実施してもらうことで、情報システム部だけでは気付くことができなかった内部脅威の可能性を具体的に把握できるようになったと感じています。やはり餅は餅屋ですね。

今後は、異常をよりリアルタイムに近い形で検知・把握できる体制の強化を目指し、エルテスとさらなる連携を進めていく構えだ。

CHCPグループは、大きな社会課題への挑戦を続けると同時に、内部脅威という新たな領域にも目を向けることで、サスティナビリティ(持続可能性)を意識した取り組みを進めてゆく。同グループの取り組みにより地域医療が維持され、ひいては強い日本を支える未来を願ってやまない。

業務に役立つ資料を探す
サービス資料請求/相談する
サービスを詳しく知りたい

内部脅威検知サービスの導入事例

CONTACT
見出し2装飾

上場しているからこその透明性の高いサービスを提供
1,000社以上への提供実績

お電話でのお問い合わせはこちら
(平日10:00~18:00)
ご不明な点はお気軽に
お問い合わせください
デジタルリスクに関するお役立ち資料を
ご用意しています