 |
||
|
|
ユーザ事例
ARUP Laboratories
シスコとの協力によるサービスの効率化と、重要な患者情報の保護
背景
ユタ州ソルト レーク シティにある Associated Regional and University Pathologists, Inc.(ARUP Laboratories)は、1984 年、ユタ大学のヘルス サイエンス センターにより独立フルサービス リファレンス研究所として設立されました。 地方コミュニティでのテストを補うための機密テストを専門とする ARUP のお客様には、病院、民間研究施設、グループ購入機関、政府施設、大手クリニック、大手製薬会社などが含まれます。 約 1500 人の ARUP 従業員は、高度な研究所テスト、サービス、教育、研究などをお客様に提供することで、患者ケアの改善に従事しています。
ARUP では、業界最先端の医療研究所テストや解剖病理学鑑定サービスを実施しており、お客様の経済的、社会的ニーズにお応えすべく、テストおよびビジネス方式の開発と改善に取り組んでいます。 また、ARUP では、入院期間の短縮とヘルスケア費用の抑制に貢献するタイムリーなサービス提供を目指しています。 同時に、患者のプライバシー保護と、Health Insurance Portability and Accountability Act(HIPAA)で定められたセキュリティ関連法令の遵守にも取り組んでいます。 ARUP のネットワーク管理者およびシステム管理者は、数多く存在するセキュリティ関連の重要な問題と法令に加え、お客様の大切な権利を尊重して、研究所データへの電子的アクセスを安全かつ効率的に行えるネットワーク インフラストラクチャを構築しています。
Cisco VPN: テスト依頼およびテスト結果の安全な転送
ARUP では、1 日に 15,000 ~ 20,000 の試料をテストしており、その数は毎年 20 % ずつ増加しています。 その中で、結果または研究依頼が電子的に転送されているテスト ケースは約 80 % に上ります。 Senior Network and Systems Administrator の Doug Ketchum 氏は、同僚の Eric Hansen 氏および Jeramie West 氏と協力して、効果的なバーチャル プライベート ネットワーク(VPN)アーキテクチャを設計し、ARUP の取引先機関と安全にデータをやり取りできる環境を構築しました。
ARUP の VPN アーキテクチャの中核には、Cisco® VPN 3000 シリーズ コンセントレータが採用されています。 Ketchum 氏と彼のチームは、お客様に安全な接続を提供するために Cisco VPN 3005 コンセントレータと Cisco VPN 3015 コンセントレータを実装しました。現在は、フェールオーバー機能を備え、完全に冗長化された VPN ソリューションを実現するために、さらに 2 台の Cisco VPN シリーズ コンセントレータを実装する作業に取り組んでいます。 VPN 3000 シリーズ コンセントレータは、リモート アクセス VPN 専用プラットフォームと、最先端の暗号化技術および認証技術をサポートし、アベイラビリティ、パフォーマンス、およびスケーラビリティに優れたクライアント ソフトウェアによって構成されています。
Cisco VPN 3000 コンセントレータを導入したことで、ARUP のお客様と従業員は、さまざまな種類の VPN 接続を利用することが可能になりました。 たとえば、ARUP ネットワークに LAN-to-LAN VPN 接続で直接アクセスできるお客様は、患者依頼とテスト結果を電子的にやり取りすることができます。Ketchum 氏は、Cisco VPN コンセントレータについて、次のようにコメントしています。 「これほど嬉しいことはありません。 当初は、他の 2 社の製品を試したのですが、LAN-to-LAN 接続にたいへん苦労しました。 Cisco VPN 3000 コンセントレータに切り替えてからは、どのパートナーとも問題なく接続できています。 Cisco VPN 3000 コンセントレータは、パートナーが私たちに望むことを何でも処理できるので、非常にすばらしい製品です。」
現在 ARUP では、できるだけ多くのお客様に VPN 機能を活用していただくために、System 2000 という社内開発プログラムの改訂を進めています。ARUP のお客様の接続方式をダイヤルアップから VPN に変換することで、より効率的かつ低コストで ARUP システムへのアクセスを可能にすることが、このプログラムの目的です。 現在、System 2000 プログラムに使用しているおよそ 300 社のお客様は、約 10 年前のダイヤルアップ ソフトウェア アプリケーションを使用して ARUP に PC を接続しています。 新しい System 2000 では、PC 上にインストールされた Cisco VPN Client ソフトウェアを使用して、ARUP データベース エンジンと安全に接続することになります。
VPN 3000 シリーズは、ARUP のパートナーおよびお客様によるリモート アクセスを効率化するだけでなく、ARUP の従業員による内部ネットワークへのリモート アクセスも可能にしています。VPN 3000 シリーズ コンセントレータを導入したことで、遠隔地からさまざなアプリケーションを安全に管理できるようになりました、と Ketchum 氏は述べています。 Ketchum 氏の自宅は、ARUP Laboratories から 400 km ほど離れたところにあります。 「何か問題があった場合は、すぐにネットワークへアクセスする必要があります。 VPN コンセントレータのおかげで、自宅からネットワークへ簡単にアクセスして、必要な作業を行えます。 これはほんとうにすばらしい機能です。」
重要な医療データを保護する補完的セキュリティ ソリューション
ARUP の IT チームは、データの送受信を安全に行える強固な VPN アーキテクチャを実装しましたが、 セキュリティは多面的な問題であり、ネットワーク上を流れる機密性の高い医療データを保護するには補完的ソリューションが必要であるということに気付きました。 「ポート スキャンやサービス拒絶(DoS)攻撃などの小さな問題が頻繁に発生していたので、ネットワークのセキュリティ面を強化する必要があると私たちは実感しました」と Ketchum 氏は語ります。 「内側を覗くためにドアや窓をこじ開けようとする人間がここ数年で非常に増えたので、当社のネットワークはどのような攻撃からも保護されていますと自信を持って言える水準までセキュリティを強化する必要がありました。」
ARUP では、Cisco PIX® セキュリティ アプライアンスを使用して、Cisco VPN 3000 コンセントレータを並列構成で運用しています。 Cisco PIX セキュリティ アプライアンスには、ステートフル検査によるファイアウォール機能、プロトコルとアプリケーションの検査機能、マルチメディアと音声のセキュリティ機能など、さまざまなネットワーク セキュリティ機能が組み込まれています。
ARUP では、Cisco PIX セキュリティ アプライアンスを導入してからすでに 5 年以上経過しており、最近になって旧モデルを Cisco PIX 515 にアップグレードしました。小規模/中規模ビジネス環境向けのこのモデルは、188 Mbps のファイアウォール スループットを誇り、130,000 以上の同時セッションを処理することができます。 「Cisco PIX セキュリティ アプライアンスの魅力の 1 つは、ファイアウォール機能に関する限り、業界最高レベルであるということです」と Ketchum 氏は述べています。 「当社では、Cisco PIX をアップグレードしなければならなくなったころに他のファイウォールも評価してみましたが、最終的にはやはり Cisco PIX アプライアンスを選びました。PIX の機能の方が圧倒的に充実していたからです。」 また、「当社はきわめて急速に成長を続けているので、スループットも非常に重要なポイントでした」とも述べています。 「とにかく、このセキュリティ システムの機能はすばらしい」と Ketchum 氏は結論付けています。
Cisco PIX セキュリティ システムのステートフル検査機能を補完するため、Ketchum 氏のチームはつい最近、シスコ侵入保護テクノロジーを導入し、 Cisco IDS 4235 センサーおよび Cisco IDS 4210 センサーを 1 台ずつ設置しました。 これらの侵入検知システム(IDS)専用デバイスは、他のセキュリティ コンポーネントと協調して、ネットワーク上の悪意のある不正なアクティビティ(ハッカーによる攻撃など)からデータを保護します。 Cisco IDS センサーは、トラフィックをリアルタイムで分析するので、ARUP のユーザは、セキュリティ侵犯に対して迅速に対応することができます。
ARUP ではシスコ侵入保護ソリューションをまだ完全には導入していませんが、「IDS に関する限り、私たちの選択は正しかったと思います」と Ketchum 氏は述べています。 「このセンサーのおかげで、現在の状況を非常によく把握することができます。」 Ketchum 氏は Cisco IDS センサーの潜在能力に強い信頼を寄せており、現在 Ketchum 氏のチームは、IDS センサーで重大な脅威が検出された場合に自動的に TCP リセットを実行するか、あるいはアクセス リストを更新するように Cisco IDS センサーを設定する作業を進めています。 また、ARUP では Cisco Threat Response の導入も計画しています。これが導入されれば、誤ったアラームが大幅に減少するため、IDS の総所有コスト(TCO)がさらに低下します。
セキュリティ コンポーネントの管理
最近、Doug Ketchum 氏と彼のチームは、Cisco VPN、ファイアウォール、および侵入保護ソリューションの設定、監視、管理を行うために、CiscoWorks VPN/Security Management Solution(VMS)2.1 管理プラットフォームも導入しました。 CiscoWorks VMS 2.1 では、ユーザ インターフェイス、ユーザ ロール、プラットフォーム、およびインストール機能を共通化することによって、複数のセキュリティ アプリケーションが統合されているため、IT チームはあらゆるシスコ デバイスでのイベントを即座に把握することが可能になります。 このようにセキュリティ管理を統合することにより、ARUP の IT チームはネットワーク全体にわたって一貫したポリシーを適用することが可能になります。
CiscoWorks VMS バンドルには、変更監査や syslog 分析などの運用管理機能を提供する Resource Manager Essentials(RME)も含まれています。 ARUP チームは、この管理機能を利用して、ネットワーク デバイスの設定変更に関するログを管理しています。 「CiscoWorks の管理で重要となるもう 1 つの要素は、バックアップと設定の情報です。 何かが起きた場合や、ハードウェアの交換が必要になった場合に備えて、デバイスに関する情報を保存しておけば、その設定を簡単に復元できます」と Ketchum 氏は述べています。CiscoWorks VMS を導入したことで、彼のチームは、ネットワーク内のすべてのデバイスに配慮することが可能になりました。
まだ ARUP の IT チームは、CiscoWorks VMS によってサポートされているさまざまな機能についての知識を深め続けている段階ですが、設定情報およびログ情報のバックアップ機能に対してはすでに深い信頼を寄せており、このプラットフォームの能力に感銘を受けています。Ketchum 氏は、CiscoWorks VMS 2.1 の導入を決定した経緯を次のように述べています。 「ネットワークに IDS センサーを追加すれば、すべてのものを一元的に管理できるというのは、非常によいビジネス センスだと思いました。 複数のプラットフォームに同じ変更を同時にプッシュできれば、私たちの作業は大幅に軽減されます。」
結論
ARUP の経験豊富な従業員は、研究所における良質なテストを継続的に提供できるよう努力しています。 最新のネットワーク ソリューションおよびセキュリティ ソリューションを導入して、それらを効果的に利用しなければ、質の高いサービスを提供することはできない、ということを彼らは熟知しています。 ARUP の IT グループは、効率的で安全なビジネスを維持するために、シスコと協力して、既存および現在検討中のテクノロジーに関する知識を積み重ねています。 現在、ARUP では、既存の Cisco VPN、ファイアウォール、および侵入保護ソリューションを拡張し、ビジネスの効率をさらに向上させる新しいアプローチを発見したいと考えています。
