福井県済生会病院はVMwareのネットワーク仮想化ソフト「VMware NSX」（以下「NSX」）を使って構築した、院内の医療情報システム用の共通ネットワーク基盤を2015年10月から稼働した。

Cisco UCSに30種以上の
医療情報システムを仮想化・統合

同病院では従来、診療部門システムごとに物理サーバーを運用しており、サーバーの増加に伴って保守費やサーバールームの空調費などの運用コストの増加が大きな課題となっていた。そこで、23の診療部門ごとに独立していた医療情報システムを2010年頃から順次仮想化し、共通の仮想基盤へ集約・統合を進めてきていた。

15年に、すでに仮想化していたものも含めて約30種のシステムをシスコシステムズの「Cisco Unified Computing System（UCS）」に統合。クラウド基盤を構築・管理する「VMware vCloud Suite」と、仮想ネットワークの構成・管理を行うNSXで統合インフラ基盤を構築した。

SDNとセキュリティ対策が連動サーバーの集約・統合によって、設備投資・運用工数は大幅に削減され、その削減効果は50％以上にも達すると同病院では見込んでいるという。

加えて、NSXの導入は医療情報システムのセキュリティ強化にも効果を上げている。「NSXを採用した狙いは、セキュリティの強化にあった」と語るのは、医療情報課・課長の塗茂（ぬしも）裕一氏だ。「これまで複数系統に分かれていたネットワークの監視をNSXで一本化し、かつマルウェア感染が発生した後の対策も自動化することが目的だった」と話す。

福井県済生会病院 医療情報課 課長 塗茂裕一氏

同氏が着目したのが、NSXの特徴的な機能である「マイクロセグメンテーション」と、トレンドマイクロのサーバーセキュリティ製品「Trend Micro Deep Security」（以下「Deep Security」）を連携させる仕組みだ。仮想ネットワークを管理・制御するSDN製品の選択肢は当時、豊富にあったが、「Deep Securityと連携できる製品は当時、NSXのみだった」と同氏は振り返る。

マイクロセグメンテーションとは、企業・組織内部のネットワークを細かくセグメント化して、マルウェアの拡散を防止するという内部対策の手法である。これにより、異なるセキュリティポリシーを適用する範囲を仮想マシン（VM）単位まで最小化することが可能だ。VLANでも同じようなことはできるが、その場合、構成が複雑化し運用負荷が増大する。

NSXはファイアウォール（FW）機能を仮想基盤上で提供し、ソフトウェアで制御できる。従来は同一セグメントとして管理していた、一部門内の複数の医療情報システムの間の通信も、シンプルなかたちで制御できるようになるのだ。

一方、Deep Securityは、脆弱性対策やFW、ログ監視、ウイルス対策など、サーバーのセキュリティに必要な機能を統合したセキュリティ対策製品である。これと、前述のNSXの機能を連携することで、万一、サーバーに不正侵入されても、細かく分割したセグメント内に被害を抑えこみ、拡散を防止できる。

Deep Securityがウイルスを検知した場合は、NSXと連動してネットワークを制御し、感染したサーバーや端末を検疫ネットワークに隔離する。「検疫を行って、マルウェアを駆除し安全な状態にした後、正常系のネットワークに復帰させて使える状態に戻す。このプロセスをすべて自動で行えるようになった」（塗茂氏）。

通常、マルウェア感染を検知した場合はこうした一連の作業を管理者が手作業で行わなければならず、対処が遅れれば情報漏えいのリスクも増大するが、そうしたセキュリティ運用上の課題が低減できたのだ。