 |
||
|
|
ユーザ事例
ネットワーク セキュリティの管理 : Radiology Associates of Ocala
CiscoWorks VPN/Security Management Solution と Cisco Secure Access Control Server による迅速なセキュリティ強化
放射線学は、多くの情報を扱う医療の専門分野です。 またこの分野では、生命の危機に瀕している患者の情報を、必要なときに必要な場所に配信することが要求され、そのネットワーク システムは、ますます大規模になってきています。
Radiology Associates of Ocala(RAO)は、フロリダ州マリオン郡に位置し、40 年以上もの間、医療画像分野をリードしています。 RAO の 17 名の放射線技師は、地域の 3 か所の病院、2 か所の地域医療センター、および、郡内にある、画像分野の 4 か所の提携サイトに勤務しています。 彼らは、さまざまな医師、事務スタッフ、多くの臨床医とともに働いています。 大量の情報が多くのサイト間を行き交うため、RAO が業務を遂行するには、安全なネットワークと管理の行き届いたセキュリティが必須の条件です。
優れた機能を持つ小規模ネットワーク
RAO の業務では、サイズが大きく複雑なファイルを迅速かつ安全に移動することは必要不可欠です。 RAO の Associate Director of IT である Jon Houghton 氏は、医師と作業して適切なネットワークを構築するプロセスを、次のように説明しています。 「ここには、テクノロジーを深く理解している医師が何人かいます。 彼らは、画像をプッシュすることや、十分な帯域幅について理解しているので、彼らのニーズが満たされるように提案をしました。」
大規模展開が必要だったため、RAO のネットワークは、当初から Cisco® のコンポーネントで構築されていました。 「ここは、エンドツーエンドのシスコ ショップのようです。使用しているすべてのルータやスイッチはシスコの製品です。」と、Houghton 氏は言います。 「シスコは高い評価を得ていたので、私たちはシスコを選びました。 スイッチ 1 台から使い始めましたが、何の問題も起きませんでした。 今では、私たちの規模は大きくなり、業務の拡大とともにネットワークも拡大しています。」
図 1
RAO のネットワーク
レイヤ 3 のスーパーバイザ エンジンを実行している 2 台の Cisco Catalyst® 4006 スイッチが、RAO ネットワーク全体のルーティングを制御しています。 すべてのサイトが、これらの Catalyst 4006 スイッチを介して、Virtual LAN(VLAN; バーチャル LAN)によって接続されています。 Cisco Catalyst 3550 スイッチと 3548 XL スイッチによってスイッチングが制御され、これらはコアとなっている Catalyst 4006 を介してルーティングされます。RAO では、ネットワークのコアに Cisco 3640 マルチサービス プラットフォームを配置し、リモート サイトでの終端には Cisco 1720 モジュラ アクセス ルータと Cisco 2621 マルチサービス プラットフォームを使用しています。 T1 と POTS 接続は Cisco 3640 によって提供され、同時に Cisco VPN 3000 シリーズ コンセントレータによってリモート アクセスが可能になっています。
また、冗長 Cisco PIX® 506 セキュリティ アプライアンスによって、RAO のネットワークを外部からの攻撃や脅威から保護しています。 侵入保護には、2 台の Cisco IDS 4210 センサー アプライアンスと、1 台の IDS 4250 センサーを使用しています。 これらの IDS アプライアンスは、複数の検出方式を採用することで、ワームやサービス拒否(DoS)などの脅威、およびアプリケーション攻撃からネットワークを保護します。
機密性と拡張のためのセキュリティ管理
シスコ製品に備わっている VPN 機能、ファイアウォール機能、およびセキュリティと認証機能は、RAO のネットワークをセキュリティ保護するための基盤となっています。 「HIPAA(医療保険の携行性と責任に関する法律)が施行される以前から、患者の機密保持は私たちにとって重要でした。」と、Houghton 氏は述べています。 「ネットワークに配置するデバイスの数が増えるほど、パスワードを覚えたり、変更を追跡したり、ポリシーやポリシーを有効にする設定を一致させることが難しくなることに気づきました。 手動でのセキュリティ管理はセキュリティの障害となり、患者の機密保持を危うくする可能性があります。 また、時間もかかるので、時間が節約できて同時に業務が改善できれば大歓迎です。」 これらの目標を達成するため、RAO はシスコのセキュリティ管理製品を 2 台実装しました。 CiscoWorks VPN/Security Management Solution(VMS)と Cisco Secure Access Control Server(ACS)です。
CiscoWorks VMS: セキュリティ管理のツールボックス
RAO は、CiscoWorks VMS によって、これまで複雑だったセキュリティ管理を簡素化するツールを得ました。 「これらのツールを使えば、すべてのルータ、スイッチ、および Cisco PIX 機器上の変更を追跡できます。」と、Houghton 氏は述べています。 「今では、多数のデバイスの変更を 1 か所で行っています。 一度の操作で、設定変更をネットワーク上のすべてのコンピュータに送信できます。 設定ファイルを追跡できることは障害復旧にも役立ちます。 時と場所を選ばずに、デバイスの管理を容易に行えます。」
Houghton 氏のスタッフは、CiscoWorks VMS のファイアウォール管理機能を使用して、簡単に新しいルールを追加したり、以前の変更を監視できます。 CiscoWorks VMS を使用すれば、管理者はこれまでの設定を迅速かつ容易に再調査できます。 RAO のチームは、複数の設定作業を行い、それらを 1 度に展開することもできます。 1 つのジョブに問題がある場合、管理者は、単純にそのジョブの展開を中断して他のジョブを実行することができます。 設定が自動で展開されることで人為的ミスが軽減され、RAO のネットワーク上のセキュリティ ホールと有害なトラフィックを減らすことができます。
「私たちが処理する多くの情報は患者の機密情報で、それらはサーバにあります。」と、Houghton 氏は述べています。 「CiscoWorks VMS を使用すると、有害なトラフィックを監視でき、ハッカーなどからネットワークを保護することでそれらの情報の安全性を維持できます。」
業務では、放射線技師がいかに安全に患者のファイルを転送できるかが重要なため、RAO では、安全な VPN 接続によるリモート アクセスによって情報を収集、保存、および表示するために、CiscoWorks VPN/Security Management Solution を使用しています。 スタッフは、アクティブなセッションすべてに対するセキュリティ ネゴシエーションのステータスを維持することもできます。 将来の VPN トンネルとトラフィックの拡大を考慮すると、運用トンネルのスループットとアベイラビリティを監視する CiscoWorks VMS の機能は、さらに重要になります。
CiscoWorks VMS の VPN 監視機能を使用すると、RAO の管理者は、リモートでネットワークを表示し、VPN を介して RAO の本部に接続している医師をいつでも確認することができます。 ネットワークを管理するために、管理者は問題のある VPN セッションを終了することができます。 RAO の VPN 機能は、待機中のすべての放射線技師が使用できます。
VPN 監視に加えて、RAO のチームは、CiscoWorks VMS を使用して、ルータやファイアウォールに関係するイベントの監視、関連付け、および報告もできます。また、侵入検知システム(IDS)センサーをネットワークに追加すると、ホスト IDS のイベントも監視できます。
「これまで私たちは、さまざまなネットワーク監視ツールをすべて持っていました。その数は 4 つか 5 つでした。」と、Houghton 氏は述べています。 「CiscoWorks VMS によってすべてが変わりました。 すべての監視が 1 か所にまとめられ、複数の異なるデバイス間での情報が関連付けられて表示されます。」
Houghton 氏は、彼と彼のチームがこの結果に満足していると述べています。 「システムは問題なく稼動し、私たちもシステムを可能な限り観察していますが、時間が随分短縮されています。」 チームでは現在、監視報告を週に一度以上実行し、どの医師がどの位の時間ログインしているか、また彼らのネットワーク接続に問題がなかったかを確認しています。 「多くの場合、医師は、待機中に常にネットワークに接続可能である必要があります。 それを確実にするのが私たちの仕事で、CiscoWorks VMS によって、この仕事が容易になりました。」
RAO は、より多くの侵入保護を展開することを計画しています。Houghton 氏は、IDS センサーの管理にも CiscoWorks VMS を使用することを考えています。 「私たちは、対処するべきこと、および遮断するトラフィックを判断するために監視をしています。」と、彼は述べています。 チームがホストベースの侵入保護を完全に展開したら、ホストベースの IDS 構成も採用する予定です。 RAO は、その拡大に応じて、CiscoWorks VMS を使用してセキュリティ インフラストラクチャ全体を管理することを計画しています。
Cisco Secure ACS: あらゆる場所からの情報アクセスに対する保護
RAO のネットワークの拡大に伴って、認証、許可、アカウンティングも複雑になっています。 放射線技師は、移動中または病院内で自席から離れている場合も、本部にある患者の情報にアクセスする必要が多くあります。 彼らは RAO の VPN を介して情報を取得でき、必要なリモート サイトにデータを安全に移動することができます。 しかし、RAO の IT スタッフは、だれが情報にアクセスしているか、また、どこからアクセスしているかを常に特定する必要があります。 これを実行するために、RAO では Cisco Secure ACS を使用しています。
Cisco Secure ACS には、ネットワーク アクセス サーバ、Cisco PIX Firewall、およびルータなど、AAA クライアントとして機能しているネットワーク デバイスへの Authentication, Authorization, and Accounting(AAA)サービスがあります。 Cisco Secure ACS は、RADIUS と TACACS+ によって RAO のユーザを相互に関連付け、情報が通過するトンネルと機器の両方をセキュリティで保護します。
Houghton 氏は、ACS ソリューションが必要な状況を次のように説明しています。 「ACS をインストールする以前は別々のユーザ名リストを使ってダイヤルしていました。 リモート管理は困難で、時には 1 人のユーザがシステムごとに異なる複数のアカウントを持つこともありました。 管理には非常に苦労していました。 ACS を使用すると、ユーザの物理的な場所にかかわらず各ユーザのシステム上の位置が変わらないので、解決できました。 これは非常にシンプルです。」
シスコのセキュリティ管理: 作業の軽減とセキュリティの向上
RAO チームは日々 CiscoWorks VMS と Cisco Secure ACS による利益を享受しています。 CiscoWorks VMS によって、状況がまとめて表示されます。 Cisco Secure ACS を使用することで、ユーザ アクセス制御にかかる時間が短縮され、セキュリティの危機を招く可能性のあるエラーを回避するのに役立っています。 複数のデバイスやユーザを、使用可能な単一のインターフェイスで管理できることは、優れた管理を確実に行うための最適な方法です。
Houghton 氏は、新しいシステムに強い自信を持っています。 「これまでよりも大幅に優れたセキュリティで、その管理は非常に簡単です。 監視と IDS によって、最も重要な、脅威を知ることが可能になります。 また、シスコの管理ツールはすべて透過的に連携します。 期待どおりです。」
|
