重要インフラの使用事例17

データダイオードサイバー

セキュリティの使用による

産業用制御システムの防御

(PDF 12,363KB)

　　    使用実例 17

 

01_石油・ガス

世界的な石油・ガス企業が本社への生産データの一方向転送を実現

 

02_天然ガス

天然ガス企業が本社への生産データ転送の安全を確保し、遠隔警報監視を実現

 

03_ガスタービン

ガスタービンのベンダーが発電所の安全な監視を実現

 

04_石油化学製品

石油化学製品企業がビジネス IT への安全な一方向生産データフローを実現

 

05_採掘

レアアース採掘企業が最先端の持続的 攻撃に対する運営ネットワークの安全を確保

 

06_上下水道

上下水道企業が DHS の多層防御サイバーセキュリティ戦略を実装

 

07_原子力発電

原子力発電所がアメリカ合衆国原子力規制委員会のサイバーセキュリティ規制を遵守

 

08_石炭火力発電

石炭発電所が NERC CIP バージョン 5 サイバーセキュリティ規制を遵守

 

09_ガス発電

天然ガス発電所が NERC CIP サイバーセキュリティ規制を遵守し、ベンダー遠隔監視を実現

 

10_電力公社

電力公社が 10 箇所の発電所で NRC、NERC CIP サイバーセキュリティ規制を遵守

 

11_T&D 変電

送配電変電所が NERC CIP バージョン 5 サイバーセキュリティ規制を遵守

 

12_銀行 ATM

米国法銀行がセントラルリポジトリデータベースで ATM データ収集の安全を確保

 

13_銀行業

米国地方銀行が遠隔ネットワーク監視を実現

 

14_銀行業フォレンジック

中堅企業向け全国銀行がフォレンジックデータファイルの捕獲キャプチャおよび収集を実行

 

15_銀行業のオフサイト

米国地方銀行が取引および顧客記録の社外バックアップの安全を確保

 

16_鉄道輸送

全米通勤鉄道会社が遠隔車両･レール監視の安全を確保

 

17_ヘルスケア

ヘルスケアシステムが電子医療カルテの研究データベースの安全を確保

 

 ↓まとめてダウンロードできます

 

サイバーセキュリティに関する課題

このヘルスケアシステムは、保護医療情報 (Protected Health Information、PHI) を含む数十万件の電子医療カルテ (EMR) を収録するデータベースを管理している。病院の職員は EMR にアクセスするために、ヘルスケア管理ソフトウェアを使用するが、アクセスは彼らが治療を担当する患者のものに限定されていた。しかし、大学の研究者はこれらのソフトウェアシステムの安全措置を守らず、研究目的で認められた範囲を超えてすべての EMR データベースにアクセスし、HIPAA* 違反を犯していた。病院側は、HIPAA 規則を遵守し、研究目的で認められた EMR へのアクセスを管理する方法を求めていた。

 

HIPAA : Health Insurance Portability and Accountability Act

「医療保険の相互運用性と説明責任に関する法律」

要求事項

●研究者が HIPAA を遵守し、選択された患者記録を閲覧できるような、独立した新たな管理ネットワークを作成すること

●アクセス権限を持つヘルスケアワーカーのために、ヘルスケア管理ソフトウェア経由の EMR アクセスを維持すること

 

 

ハードウェア «

Owl 社の周辺機器防御ソリューション ‒ 100(OPDS-100)

ネットワークのセグメント化および決定論的一方向データ転送専用に設計された内蔵型 1U データダイオード。

 

 

 

 

 

 

 

 

 

解決策

EMR 研究ネットワークを隔離し、またすべてのデータベースから研究用の部分的な PHI データを作成するために、DualDiode Technology® を使用する Owl 社のデータダイオード (OPDS-100) が採用された。データダイオードにより、管理された研究データベースへの EMR データの決定論的一方向データ転送が可能になった。

 

結果

●EMR 研究ネットワークの周囲にハードウェアで強化された安全な境界を設定し、研究者がすべてのEMR データベースへアクセスすることから隔離した

●EMR & PHI のアクセスに関して確実に HIPAA 規則が遵守されるようになった

●研究スタッフには選択、許可された患者記録の分析を引き続き行えるようにした