医療機関狙うVPN脆弱性、FYFがゼロトラスト基盤「FSAM」で対策強化

株式会社FYFは、医療機関のサイバー攻撃で悪用される「保守用VPN」の脆弱性に対し、ゼロトラスト接続基盤「FSAM」の提供を強化すると発表しました。これにより、物理的な機器管理の負担を軽減し、医療現場のセキュリティ向上を目指します。

医療機関を悩ませる「管理の空白地帯」

見出し

1 医療機関を悩ませる「管理の空白地帯」
2 「FSAM」が実現する三つの防御アプローチ
3 従来の運用管理との比較
4 ソース元

近年、各地の医療機関が公表したサイバー攻撃の調査報告書では、外部ベンダーによる保守用VPNが主要な侵入口となっている実態が明らかになっています。本来、適切に管理されたVPN機器は安全に運用可能であるものの、医療現場では、病院側が把握しきれていない古いVPN装置が放置され、その脆弱性が悪用されるケースが後を絶たないという課題があります。

具体的には、過去のシステム導入時にベンダーが設置し、病院の資産台帳に記載されていない、あるいは保守期限が切れたまま放置されたVPN機器が「見えない資産」として攻撃の足がかりとなることがあります。また、従来の境界型防御（VPN）の特性上、一度認証を突破されると、病院内の電子カルテサーバーやバックアップデータまで制限なくアクセス可能な状態となり、被害が甚大化する「横展開（ラテラル・ムーブメント）」を許す要因となっています。

「FSAM」が実現する三つの防御アプローチ

FYFが提供を強化するゼロトラスト接続基盤「FSAM」は、これらの構造的リスクを解決するとしています。既存のVPN環境を本基盤へ刷新することで、以下の三つの防御体制を構築することが可能になります。

接続口の非公開化（ステルス性）：インターネット上にグローバルIPアドレスを公開する必要があるVPN装置とは異なり、FSAMはクラウドゲートウェイを介した「内向き」の通信を利用します。これにより、外部から接続口を隠蔽し、攻撃者による脆弱性探索そのものを無効化します。
最小権限によるアクセス制御：「特定のユーザーが、特定の時間に、特定の業務アプリケーションのみ」にアクセスできるよう制御します。接続アカウントが盗用された場合でも、病院内の他システムへ被害が広がるリスクを論理的に遮断します。
証跡（ログ）の自律管理による透明化：保守作業の詳細はブラックボックス化しがちですが、FSAMでは全ての操作履歴を病院側で保持します。動画やテキストで記録を管理することで、ベンダー任せにしないガバナンス（統制）を実現するとしています。

従来の運用管理との比較

従来のVPN運用では、セキュリティが脆弱性対応や機器管理に依存し、アクセス権限はネットワーク全体に広がりやすい傾向がありました。また、各ベンダーの機器管理・更新が必要となり、運用負荷が高い点が指摘されていました。責任分界点も曖昧になりがちだったといいます。

一方、FSAMによる刷新では、接続口の非公開化によって攻撃を回避し、必要なアプリケーションのみにアクセスを限定します。物理機器の減少により管理コストが削減され、病院主導のアクセス認可で責任分界点が明確化されるとしています。

株式会社FYFは、創業以来、全国の医療施設向けにIT基盤の設計・構築・運用を提供してきた企業です。同社は、医療現場のデジタル化（医療DX）を推進しつつ、「命を守るネットワーク」を強固にすることを追求しており、今回の提言は、過去の事故から得られた教訓を技術で解決し、医療従事者が安心して医療に専念できる環境を提供するためのものとしています。

FSAMの詳細については、以下の関連リンクをご確認ください。