【目的】当院は病床数214 床、約500 人の職員が働く脳神経運動器の専門病院である。ランサムウェアなどのサイバー攻撃から電子カルテなどの医療情報を守ることを目的に、AIを活用したNetwork Detection and Response（以下NDR）の導入によるネットワークの見える化に取り組んだので報告する。
【方法】院内ネットワーク上のコアスイッチにNDRのアプライアンスを接続。コアスイッチにミラーポートを設定して、すべての通信データをNDRで監視できるようにした。監視対象は電子カルテネットワークに接続する全ての機器。NDRが不審な通信を検知すると脅威の度合いを100%までのスコアで表示。検知内容を分類化した上で専用アプリ、メール等で通知。危険度が高い場合は自動で通信を遮断する。
【結果】本格運用開始後3ヵ月間にNDRが検知した事例について集計。検知対象機器は987、検知対象サブネットは47、検知総数は237、自動遮断事例はなし。分類については、Complianceが116件（42%）、Anomalous Connectionが39件（14%）、Antigenaが27件（10%）などであった。脅威の度合いが最も高かったのはAntigenaに分類された2つの事例で87%。ともに許可されたクラウドサーバへのoutbound通信であった。その他についてもIPアドレス等を元に詳細を確認した結果、危険な通信ではないことを確認したが、一部事前連絡のないリモートメンテナンスなども含まれていた。
【考察】サイバー攻撃に該当する事例はなかったが、不正接続を疑うような通信も複数検知されていた。従来であれば気づく方法がなく、NDRによって危険な兆候が見える化できたと考えている。
【結語】NDRの有効性については検証できたので、引き続き運用を続けていく中で課題はないか確認をしていきたい。