リスクの全体像を把握
Elasticセキュリティを利用することで、Nebraska Medicineはすべての環境からログを取り込んで正規化し、脅威を明確かつ包括的に可視性することができます。
サイバー攻撃を撃退
Nebraska Medicineは、Microsoft Azure上のElasticセキュリティを使用して、ランサムウェアやDDOSなどの犯罪行為からスタッフ、患者、システムを保護できるようになりました。
コンプライアンスを簡素化
Elasticセキュリティを使用することで、Nebraska Medicineは自動的にデータを収集し、規制当局にレポートを配布することができます。
米国トップの医療機関がElasticセキュリティを導入し、患者データとネットワークの保護、ワークフローの自動化、効率性の向上、コスト削減を実現。
医療機関を標的としたサイバー攻撃は増加の一途をたどっています。ランサムウェアのインシデントは2016年から2021年の間に2倍以上に増加し、医療サービスを中断させ、患者の保護医療情報(PHI)を流出させました。病院のネットワークに接続される医療機器が増えるにつれ、リスクはさらに大きくなっています。機器がハッカーにさらされて、患者が危険にさらされる可能性があるためです。
Nebraska Medicineは、増加するサイバー犯罪の脅威を食い止めるために積極的な取り組みを進めています。Newsweek誌が選ぶWorld's Best Hospitalsトップ50に最近ランクインしたこの組織は、ネブラスカ医療センターとベルビュー医療センターという2つの病院で構成されます。またNebraska Medicineは、組織の学術研究部門であるネブラスカ大学医療センター(UNMC)とも提携しています。組織のデータとITネットワークを保護する責任は、Nebraska MedicineエンタープライズセキュリティチームのシニアITセキュリティエンジニアであるゲーリー・ロス氏とチームメンバーが担っています。チームは、州内の病院、研究部門、さまざまなクリニックのサーバー、ワークステーション、ノートパソコン、接続済み医療機器、プリンターなど、全部で7万台のエンドポイントを保護する必要があります。
私たちの戦略的目標は、すべての環境からログを取り込んで正規化し、この組織が直面しているリスクの全体像を把握することです。その目標には、エンドポイント、アプリケーション、すべてのセキュリティ制御からのログが含まれます。
ロス氏が2020年に同組織に加わったとき、これらの環境からのデータを一元的に把握する手段はありませんでした。代わりに、チームは複数のツールにログインして、同じ関連検索を実行しなければなりませんでした。「これらのツールは独立して機能していましたが、非効率的でチームの負担になっていました」と同氏は言います。
クラウドを活用したセキュリティ強化
Nebraska Medicineでは概念実証を設定し、Microsoft Azure上にElastic Cloudをデプロイしました。
「Elasticは、ロギングを一元化するために私たちが使用した最初で唯一のプラットフォームであり、ITインフラ全体からログを取り込むことができます」とロス氏。
O365とAzureのログ取り込みには、これまでスタンドアロンのFilebeatモジュールを使用していました。Nebraska Medicineは、エンドポイントとクラウドのログを収集するために、すぐに使える統合機能を備えたElastic Agentに最近移行したばかりです。
データの保持、ルールの設定
Elasticセキュリティは、組織のIDライフサイクル管理(ILM)戦略にもプラスの影響を与えています。現在、Nebraska Medicineでは、新しいインデックスを2日間ホットストレージに保持してからコールドストレージに移し、最終的にはフローズンストレージで保持しています。「Elasticのおかげで、ログの保存や保持を私たちのニーズに合わせて簡単にカスタマイズできるようになりました」とロス氏は言います。
Nebraska Medicineはまた、Elasticセキュリティを活用してセキュリティルールを策定し、脅威的な行動の兆候を検知しています。
効率アップで時間短縮
Elasticセキュリティにより、組織のセキュリティアナリストの負担が軽減されています。ログが1つの場所に統合されて検索しやすくなっているため、アラート調査を迅速に行うことができます。
Elasticセキュリティのおかげで、チームはセキュリティの知識を深め、トレーニングを受け、スキルを向上させる時間を確保できています。
Nebraska Medicineは、Elasticセキュリティのワークフロー自動化によるメリットも享受しています。ロス氏とチームはElasticのセキュリティアラートを組織のServiceNow発券システムに一元化し、ServiceNowのセキュリティインシデントレスポンスのプレイブックをさらに活用できるようにしました。
ダッシュボードを使った防御
Nebraska MedicineではKibanaダッシュボードを幅広く活用することで、データを可視化し、アラートに対応しています。ここには、そのまま使えるWindowsイベントダッシュボードが用意されており、ユーザーログオン、ユーザーとグループの管理、PowerShellの使用を監視できます。サーバー管理者は、これらのインターフェースを使用することで、アカウントの変更、管理者アカウントの不適切な使用、その他の異常を検出することができます。
複数のチームが固有の要件に合わせてダッシュボードを作成しています。「長年にわたって蓄積された異種無線SSIDを統合できたことは、その好例です」とロス氏。「弊社のネットワークセキュリティエンジニアは、廃止されたネットワークに接続しようとするデバイスを識別するダッシュボードを構成しました。」
戦略を支えるセキュリティ
ロス氏は、Elasticセキュリティを使うことで、自分のチームがより広範な戦略的ビジネス目標をサポートできるようになったと強調します。
医療では効率がすべてです。Elasticセキュリティを使えば、データやダッシュボードへのアクセスを拡大することができ、他のチームに問い合わせるのではなく、誰でも問題のトラブルシューティングを行うことができるようになります。組織の時間と経費の節約につながります。
ロス氏は今後、Elasticセキュリティの各種ツールの利用を促進して、カスタムデータソースに対応したダッシュボードをもっと構築したいと考えています。同氏は、パフォーマンスメトリックのアラートを作成することを計画しており、現在のエンドポイントセキュリティエージェントと併せて、検出モードでエンドポイントセキュリティ統合を展開できるか検討中です。これらの手順を踏むことで、Nebraska Medicineは、オンラインでの患者予約、ロボット工学、遠隔機器、AI診断などの役割が増す未来の医療に備えることができます。