愛媛大学医学部附属病院(愛媛大学病院)は事業継続計画(BCP)として、リモートアクセス環境における認証を強化し、トークン不要のワンタイムパスワードを採用したという。本人認証システム「SECUREMATRIX」を提供したシー・エス・イーが1月29日に発表した。
愛媛大学病院は、BCP対策として、病院情報システムの端末でないPCからも電子カルテなどを参照できるリモートアクセス環境の再構築を検討していた。
これまで、医療情報システム向けサービスを提供する企業によるメンテナンス用に、IPsec-VPNでのリモートアクセスが可能だったが、相手先の環境により接続できない場合があり、ユーザー環境に依存しないセキュリティ手段を探していた。
ユーザーには本人認証用のトークン型ワンタイムパスワードを配布していたが、業務担当者のトークンの常時携帯が難しく、緊急対応が必要な時にアクセスすることができなかった。またユーザーが増えるたびにトークンを買い足すため非効率だったという。
構成図(シー・エス・イー提供)
愛媛大学病院はSECUREMATRIXを採用した理由として、災害時に認証用トークンを必要としない点や1人単位ですぐに追加のアカウントを発行できる点、幅広い端末に対応可能なSSL-VPN方式を採用し、利用端末に制限がないことなどを挙げた。
また、認証サーバはクラウド上で運用されるため、災害が発生し病院内のシステムが大きなダメージを受けたとしても、情報アクセスに必要なセキュリティを維持できるようになると説明している。
新しいリモートアクセス環境はこれまでと同様にリモートメンテナンスに使われるほか、病院情報システムに関するセキュリティポリシーを調整の上、医療従事者向けにも開放していくという。同システムは2014年5月から運用開始する予定だ。
