セキュリティが求められる院内ネットワークを支えるNetAttest
SDNと連携する端末認証とDHCPで、セキュアなネットワークを楽々運用

住友別子病院
  • SDNで複数の院内ネットワークを統合
  • 医療機器が含まれるネットワークで環境で不正端末の接続を防止
  • ネットワーク接続後のIPアドレス配布をDHCPで楽々運用
導入製品
 NetAttest EPS, NetAttest D3
目次
  1. 1.

    新病院建設を機に、院内ネットワークを見直し

  2. 2.

    SDNと端末認証により、セキュアでシンプルな仕組みに

  3. 3.

    DHCPサーバーを設置し、多様な端末に対応

住友別子病院 様 イメージ図

 従来の院内インフラでは、扱う情報ごとに基幹系、情報系、音声系、開放系、セキュリティ系と分かれたネットワーク毎に物理配線を敷設し、運用管理に大きな負荷がかかっていた。施設の改築に伴い、新規構築した院内インフラでは、配線を全てSDNで集約し、ソフトウェアで柔軟な設定を行えるようにした。加えてセキュリティの強化と運用面を考慮し、端末認証用としてNetAttestEPSを、DHCPサーバーとしてNetAttest D3を設置し、安全で使いやすく維持しやすいインフラを実現している。NetAttest EPSは基幹系、情報系、音声系へ各冗長構成で設置。NetAttest D3は情報系、音声系、開放系へ、同じく冗長構成で設置している。

新病院建設を機に、院内ネットワークを見直し

 1883年開院の、愛媛県で最も古い歴史を持つ住友別子病院。愛媛県東予地方最大の規模である同院は、地域がん診療連携拠点病院として指定され、地域の基幹病院としての役割も担っている。病床数は360床、1日の外来患者数は約800人、入院患者数も1日で約260人にも上る。その患者をケアするのが、約600人の職員だ。同院では600人の職員の連携を密にし、日々多数訪れる患者への対応を迅速に行うべく、早期からシステムのIT化を進めている。2003年には、医師と看護師、各部署の指示をコンピュータを介して伝達するオーダリングシステムを導入した。その後、2009年には電子カルテシステムを導入。カルテ情報も含めたコミュニケーションが可能となった。

 その同院で、建て替え話が持ち上がったのは6年前の2012年ごろ。現在の場所に移転してから50年が経過し、建物自体が古くなっていたことから病院の施設を建て替えることとなった。

「当時の院内ネットワークは、相次ぐ増改築で複雑化しており、トラブルが発生しても対応するのに苦労していました。こうしたことから、メンテナンスが容易な、増改築にも対応できるシンプルなネットワークを構築しようと思いました」

 院内の情報システム全般を担当する、医療法人住友別子病院 総合支援部 情報管理センター 情報システム室 兼 診療情報管理室 室長 乗松篤氏は、新病院建設にともない、院内ネットワークの構想をまとめた当時のことをこう振り返る。

 新病院では、ネットワークの再構築にあたって、次の3つのポイントを設けている。①院内ネットワークの新規構築、②電子カルテや各部署で使用している40種のシステムの移行と更新、③患者へのアメニティ向上だ。

 特に頭を悩ませたのが院内ネットワークの新規構築だ。病院という特性上、情報の取扱いには細心の注意を払わねばならず、システムや扱うデータなどの違いから、旧病院では5つのネットワークに分かれていた。電子カルテなど個人情報を扱う「基幹系」、職員間で情報をやり取りするための「情報系」、ナースコールや職員のPHS用の「音声系」、患者が院内でインターネットに接続するための「開放系」、監視カメラや電子錠などを扱う「セキュリティ系」だ。

SDNと端末認証によりセキュアでシンプルな仕組みに

 ネットワークが5つに分かれていることで、物理配線の維持管理が課題の一つだった。病院という特性上、国が発表する施策によって建物の増改築はどうしても必要となる。従来のネットワークでは、その時々に大がかりな敷設工事を必要とし、配線が煩雑となることで維持管理に多大なコストが発生していた。そのため、院内ネットワークの新規構築では、分かれていた物理ネットワークを統合し、かつSDN(Software-Defined Network)で制御したいと考えたという。SDNであれば、物理配線を1本にまとめ、用途別の複数ネットワークを論理的に分けることができ、シンプルな構成が可能となる。これに加え、患者の個人情報を扱うという観点から、セキュリティが担保できる仕組みづくりが必須課題だった。

「ネットワークに接続する端末を制御できる製品を探していました。導入を進めていたメンバーと、これしかないと見つけたのがNetAttest EPSとNetAttest D3です。要件を全て満たすという機能性はもちろん、ソリトンシステムズ製品の安定性の高さやサポート体制が充実しているという点も決め手となりました」(乗松氏)

 新病院で導入したSDN環境では、それぞれのネットワークは論理的には独立しており、お互いに影響を与えない仕組みとなっている。そのため、重要となるのが入口対策だ。特に強固なセキュリティが欠かせない、重要なデータを扱う基幹系、情報系、音声系のネットワークは、ネットワーク認証アプライアンス「NetAttest EPS」で認証を実施する構成とした。院内には、PCやスマートフォン、タブレットといった端末の他に医療機器など、様々な機器が接続されている。これらの機器に対して共通のキーとして使えるMACアドレス情報を元に認証を行う仕組みとした。

 「NetAttest EPS」の効果について、乗松氏は次のように語る。

「システム担当者が承認した機器以外は、ネットワークに繋げないようにすることがセキュリティを考えるうえで必須でした。NetAttest EPSがあれば、簡単な操作でMACアドレス認証を行うことができ、許可していない端末からのアクセスを防ぐことができます」

DHCPサーバーを設置し、多様な端末に対応

院内ネットワークに接続する端末は、病院で配布している端末の他に、患者や医師が院内に持ち込むPCなどがある。端末の多様性から、IPアドレス配布の仕組みも必要だと考え、専用アプライアンス「NetAttest D3」 をDHCPサーバーとして導入した。これにより、院内で使用する端末はネットワークにつなぐだけでLANやインターネットに容易に接続できるようにしている。

 「医師の中には、院内に私用PCを持ち込んで学会で発表する資料を作成する方もいます。最近では最新情報を入手するのに、インターネットを利用することも珍しくありません。以前は自由に使えるWi-Fi環境が限定された場所にしかなく、インターネットを利用する際は医師や患者個人でデータ回線サービスを契約するしかありませんでした。NetAttest EPSとNetAttest D3、そしてSDNを導入したおかげで、運用負荷を軽減できただけではなく、セキュアで医師や患者にとっても使いやすい環境が実現できたと思います」と乗松氏。

 今回行った、ネットワークインフラの整備、システム移行・更新、患者へのアメニティ向上により、同院は「ICTにかかわる先進的医療施設」として県内で注目を集めている。乗松氏は、県内の病院や診療所のシステムをVPNで繋ぐ地域連携システムの構築も視野に入れている。今回の導入により、製品の品質の高さを実感したという乗松氏は、その構想にソリトンシステムズの製品を活用することも考えているという。

お忙しい中、有り難うございました。

※本ページの内容は、2018年 5月作成時の情報に基づいています。

  • 掲載されている社名および製品名は、各社の商標または登録商標です。

製品・サービス

NetAttest EPS

NetAttest EPS

NetAttest EPSは、ネットワーク機器と連携し、正しい端末・正しいユーザーしか社内ネットワークに接続できない安全な環境をシンプルに実現します

NetAttest D3

NetAttest D3

本当に止まらないネットワークのために
DHCP/DNSサーバーに信頼性とセキュリティ機能を