公益社団法人鹿児島共済会
南風病院 様

MAC アドレス認証における
管理の煩雑さと棚卸が障壁に

　公益社団法人鹿児島共済会 南風病院は、1954（昭和29）年に開設された結核療養所を前身とし、後に急性期の一般診療を担う病院へと移行しつつ、標榜科および施設の拡充を繰り返してきた歴史を持つ中規模病院。各診療科では先進的な医療技術にも積極的に取り組みつつ、70周年を超えた今も、創設以来の「人にやさしく、あたたかく」との理念を守り続けている。

　同院において医療のシステム化を担い、医師たち医療スタッフや事務職員などの業務を支えているのが、情報システム課だ。

　「情報システム課が重視しているのは、医師や看護師をはじめとする医療現場の人たちへの『ITの橋渡し』です。私たち自身、ITの専門性に関してはベンダーを頼りながら、医療スタッフの業務内容や外部環境に応じたIT環境の整備を心掛けています」と、情報システム課主任の山田大資氏は説明する。

　同院のネットワークでは、電子カルテをはじめとするさまざまな業務システムや、職員たちが使う各種端末、画像診断装置などが接続されており、情報システム課にとっても重要な管理対象である。ネットワーク上では、電子カルテやそれを利用する端末、および医療機器などを含む医療業務用と、インターネット接続用のVLANに分かれ、イーサネットスイッチでのMACアドレス認証により振り分けられている。しかし、このMACアドレス認証の管理に課題を感じていた。

　「古くからあるスイッチは、SSHで接続して設定を行う必要がありました。ところが近年入れ替えたスイッチは、MACアドレスの登録を行うためのコマンドが変更されており、設置場所ごとに登録方法を分ける必要が出てしまったため、時には登録漏れが発生し、医療スタッフから『別フロアに移動したら接続できなくなった』と指摘され、急いで対応しなければならないこともありました」（山田氏）

　一方で、使われなくなった機材のMACアドレス削除も徹底できていなかったという。そもそも情報システム課以外のスタッフには、MACアドレス登録が必要であることを知らない者も少なくない。

　「電子カルテなどのシステムにつながる機材はすべてMACアドレスを登録する必要がある、と認識している方なら、新規の機材を導入する際にあらかじめ情報システム課に連絡していただける場合もあります。しかし、納入されたその日になって『ネットワークへ接続できない』と連絡が来る場合もあるのです」と、情報システム課の福森隆氏は言う。

　加えて、不要なMACアドレスを残したままではセキュリティ上の懸念が生じ、機器に登録できる容量にも制限があることから、使われていない設定を見極め、削除できる棚卸の仕組みも求められていた。さらに、情報システム課におけるスキル継承も喫緊の課題になっていた。

　「情報システム課は現在、私を含め5名が所属しています。課長と係長は管理職業務もあり、実働では4人分ほどです。ただ、MACアドレスの登録方法が煩雑になってきていたため、担当者が等しく対応をできるよう見直しが必要と考えていました」（山田氏）

認証をアプライアンスに集約
物理と仮想で冗長構成を実現

　南風病院では2024年度にネットワーク更改を行い、コアスイッチやサーバースイッチなどをリプレースしている。そして、この機会にネットワーク認証にまつわる課題についてもベンダーに相談していた。そのベンダーから提案されたのが認証アプライアンス「Account＠Adapter+ V7」だった。使われなくなったのに登録されたままのMACアドレスを棚卸する機能があり、将来的にMACアドレス認証以外の認証方法を取り入れる際にも対応が容易なため、ネットワーク認証にまつわる課題がクリアできる。

　またベンダーは、Account＠Adapter+ V7の耐障害性を高めるために、物理アプライアンスと仮想アプライアンスの組み合わせで冗長化する導入形態を提案。稼働環境を多様化することで障害発生リスクを低減すると同時に、南風病院が持つ仮想化基盤を利用することで導入費用を抑えようとした。

　この一連の提案に基づき、南風病院では2024年度のネットワーク更改に伴い、Account＠Adapter+ V7の導入を決定した。

1回の登録で全スイッチに反映
棚卸も可能になり属人化も解消

　Account＠Adapter+ V7の環境構築は主にベンダーが行ったが、情報システム課も認証をスイッチからAccount＠Adapter+ V7へ切り替えるための作業に携わっている。

　「スイッチに登録されているMAC アドレスの情報を吸い出してAccount＠Adapter+ V7に登録しようとしたのですが、インターネットに接続するセグメントでは棚卸ができていなかったため、いったんすべて削除したうえで、改めてユーザーの申請を受け付けて対応する形としました。結果、登録件数は半分くらいまで減っています。一方、医療業務用では、PCなどとは違ってMACアドレス確認が困難な医療機器なども接続されているため、既存のリストをそのままAccount＠Adapter+ V7に登録しました。特に大きな混乱もなく、Account＠Adapter+ V7での認証に切り替えることができています」（山田氏）

　Account＠Adapter+ V7の導入により、ネットワーク認証にまつわる情報システム課の業務負荷は軽減された。例えば、新たに導入した機材を接続する場合、登録はAccount＠Adapter+ V7への1回だけで済み、以前のように複数のスイッチに同じ内容の登録をする必要はない。

　「しかも、Account＠Adapter+ V7 では、特定のMACアドレスがどのVLANに登録されているか、その最終ログイン日時がいつなのか、すぐ把握することができます。スイッチに直接登録する場合は、どのスイッチに登録されているかを把握するのに手間がかかっていましたが、Account＠Adapter+ V7では登録状況を一元的に確認できるため、重複登録の防止や、使われていないMACアドレスの削除判断もログイン日時から的確に行えるようになりました」（山田氏）

　さらに、これまでの方法より運用が容易になり、属人化解消にも寄与している。

　「新人でも不安なく対応でき、私より後に入ってきた職員も含め、情報システム課の誰でも行うことができるようになりました。また、最終ログイン日時が把握できるようになったことから、『保有していながら活用されていない機材』も調べることができます。管理する側の立場としては、機材の配置を最適化するための情報としても役立てられそうです」（福森氏）

MACアドレス以外の管理も視野にさらなるセキュリティ強化を目指す

　使いやすいUI を備えたAccount＠Adapter+ V7は、運用負荷の低減や要求されるスキル水準の引き下げを実現し、他の認証方法の選択肢をもたらした。今後の情報システム課としての業務の進め方について、山田氏は次のように語っている。

　「現状ではMACアドレス認証を使っていますが、Account＠Adapter+ V7のおかげで選択肢が広がり、これからじっくり検討していくことができます。LOG@Adapter+ V7の提案もいただいており、Account＠Adapter+ V7と合わせて不正端末の通信遮断などに活用できると聞いていますので、これも今後のさらなるセキュリティ向上策の選択肢となり得るでしょう。当院で内製した端末管理システムとの連携も、もし可能であれば対応の幅がさらに広がるように思います。今後は、これまでのように受け身の仕事でなく、医療現場に新たな提案をしていけるようになっていきたいですね」（山田氏）