Japan Association for Medical Informatics

[2-H-1-05] NetFlowデータを活用した院内通信の可視化と自動解析アラート機能検証によるセキュリティ対策評価

田木 真和1、玉木 悠2、若田 好史2、廣瀬 隼1 (1. 徳島大学大学院医歯薬学研究部 医療情報学分野, 2. 徳島大学病院 病院情報センター)

NetFlow, security, automatic analysis alert

病院情報システムのセキュリティ確保のため,多くの医療機関でセキュリティ対策装置が導入されており,主にシグネチャ型のウイルス検知手法が用いられている.しかし未知のマルウェアの検知は困難であり,その課題対策として,NetFlowデータ等の内部ネットワークのトラフィックデータを解析することで潜在的な脅威を検知する方法が開発されてきているが,医療機関においてNetFlowデータを活用した報告は渉猟されない.本研究の目的は,当院内部ネットワーク対策システムのNetFlowデータの解析による,院内通信の可視化と潜在的脅威を機械学習で自動的に検知できるセキュリティアラート機能の有用性を検討することである.
2019年1月に導入した内部ネットワーク対策システムにおいて,病院情報システムネットワーク内のNetFlowデータを収集しトラフィック情報に応じてアラート表示する機能を活用し,3月21日~27日(期間1)と5月21日~27日(期間2)のアラート件数と5月27日の院内通信ログを調査した.
アラート件数は期間1が1220件,期間2が392件だった.院内から院外への通信ログは1時間に1320件抽出され,その通信ログの一部は院外への不適切な通信設定がある端末38台から出力されていた.
アラート機能では,病理やCT画像の閲覧が大容量データダウンロードとして過剰検知されることが期間1で判明したため,画像閲覧を過剰検知しない設定に変更した期間2ではアラート件数が減少した.また,院内通信の可視化により,院外への通信が高頻度で行われていることが明らかとなったが,その通信はファイアウォールで確実に遮断されていた.NetFlowデータの有効活用が病院情報システムにおいてもセキュリティ対策として有用であることが確認できたが,通信可視化の効率的な運用とアラート機能チューニングが今後さらに必要である.