医療機関が「ベンダーのアクセス監視」をせざるを得なかった“潜在的リスク”：医療ITとベンダー特権アクセス管理【前編】

米国の医療機関UMass Memorial Health Careは、自施設のシステムに対するベンダーのリモートアクセスを管理するために「ベンダー特権アクセス管理」ツールを導入した。決断に至った危機感とは。

[Makenzie Holland，TechTarget]

　UMass Memorial Health Careは米国マサチューセッツ州中部で最大（同機関調べ）の非営利医療機関だ。3つの病院を運営し、総病床は1125床、1万4000人以上の従業員を抱えている。同機関は第三者独立系機関の監査によって、自施設のシステムに関与するベンダーのリモートアクセス（VPNを含む）をほとんど制御できていないことが明らかになった。

併せて読みたいお薦め記事

ID管理の技術と進化

• いまさら聞けない「アイデンティティーおよびアクセス管理」（IAM）とは？
• 「アイデンティティーおよびアクセス管理」（IAM）選びで最初にすべきこと

IAMツールの選び方

• Amazon、Google、IBM　各ベンダーの「クラウドベースIAM」を比較する
• アイデンティティー管理製品の選び方　Active Directoryなど主要製品トレンドは？
• 「IDおよびアクセス管理」（IAM）はセキュリティの“花形”、製品と技術を追う

　大半のベンダーは、UMass Memorial Health Careの内部アカウントを保持しており、その中にはアクセスが制限されているものもあれば、制限されていないものもあった。この事実が判明したことでUMass Memorial Health Careは2014年に、SecureLinkが提供する同名のベンダー特権アクセス管理ツールを導入することを決めた。

　UMass Memorial Health CareはSecureLinkを導入したことで、誰がどのアプリケーションに、いつ、どのくらいの期間アクセスしたかを細かく制御できるようになった。ベンダーのセッションについてはあらゆるキー入力を追跡し、セッションの詳細なスクリーンショットや報告を提供することも可能になった。

監視こそが平穏をもたらす