一般社団法人 日本医療情報学会

[3-F-1-05] AIを活用したネットワークの見える化 ~NDRによる新しいランサムウェア対策~

*榊原 祥裕1、張 麗亜2 (1. 公益財団法人操風会 岡山旭東病院, 2. ダークトレース・ジャパン株式会社)

Network Detection and Response, NDR, AI, Ransomware, Information Security

【目的】当院は病床数214 床、約500 人の職員が働く脳神経運動器の専門病院である。ランサムウェアなどのサイバー攻撃から電子カルテなどの医療情報を守ることを目的に、AIを活用したNetwork Detection and Response(以下NDR)の導入によるネットワークの見える化に取り組んだので報告する。
【方法】院内ネットワーク上のコアスイッチにNDRのアプライアンスを接続。コアスイッチにミラーポートを設定して、すべての通信データをNDRで監視できるようにした。監視対象は電子カルテネットワークに接続する全ての機器。NDRが不審な通信を検知すると脅威の度合いを100%までのスコアで表示。検知内容を分類化した上で専用アプリ、メール等で通知。危険度が高い場合は自動で通信を遮断する。
【結果】本格運用開始後3ヵ月間にNDRが検知した事例について集計。検知対象機器は987、検知対象サブネットは47、検知総数は237、自動遮断事例はなし。分類については、Complianceが116件(42%)、Anomalous Connectionが39件(14%)、Antigenaが27件(10%)などであった。脅威の度合いが最も高かったのはAntigenaに分類された2つの事例で87%。ともに許可されたクラウドサーバへのoutbound通信であった。その他についてもIPアドレス等を元に詳細を確認した結果、危険な通信ではないことを確認したが、一部事前連絡のないリモートメンテナンスなども含まれていた。
【考察】サイバー攻撃に該当する事例はなかったが、不正接続を疑うような通信も複数検知されていた。従来であれば気づく方法がなく、NDRによって危険な兆候が見える化できたと考えている。
【結語】NDRの有効性については検証できたので、引き続き運用を続けていく中で課題はないか確認をしていきたい。