CASE STUDY

メディカル・データ・ビジョン株式会社

https://www.mdv.co.jp/

メディカル・データ・ビジョン株式会社 正面玄関
ご利用いただいているサービス
「SaaSライセンス&サポート」Okta Workforce Identity CloudNetskope、Keeper
ご利用期間
2023年5月〜
お話をうかがった方
管理本部 リスク・コンプライアンス部(兼)インフラ部
部門長 渡邉幸宏様
管理本部 インフラ部
永田俊幸様

4,708万人もの医療ビッグデータを活用し、
日本の医療DXを牽引する
メディカル・データ・ビジョン

渡邉様 話す姿

貴社はどのような事業に取り組んでいるのでしょうか。

回答者:渡邉様

渡邉様

メディカル・データ・ビジョンでは、医療や健康分野のICT化を推進し、情報の高度活用を図ることを私たちの使命に掲げ、データ活用による医療の質の向上と生活者のメリット創出に取り組んでいます。病院から医療データをお預かりして病院経営を改善するご提案をしたり、新規サービスを開発、提供したり、製薬会社や保険会社向けにデータベースを開発、提供したりと、多岐に渡るサービスを展開していることが特徴です。
加えて、最近では個人向けの健康管理サービス「カルテコ」の運営にも力を入れています。これまで私たちが集めてきた患者さん4,708万人分もの医療ビッグデータを活用し、患者さん本人やそのご家族に対してさまざまな選択肢を提示することで、自らの意思で治療方法を選択できる社会を目指しています。

リスク・コンプライアンス部とインフラ部では、どのようなミッションに取り組んでいるのでしょうか。

回答者:渡邉様

渡邉様

データの漏洩や消失、改ざんといった損害をもたらすリスクを防ぐ「情報セキュリティーリスク」の管理に取り組んでいます。私は以前、社長直轄の部署で新規事業のシステム構成や医療ビックデータの運用と分析といった、アーキテクチャやシステムの構成、サービス設計などを経験しており、その頃の経験を活かしています。

回答者:永田様

永田様

私が所属するインフラ部では、サーバやネットワーク、業務アプリなどの保守、運用を担っています。情報セキュリティーの取り組みについてはリスク・コンプライアンス部と一緒に取り組むことが多く、主に私たちが実務作業の担当です。

膨大な医療データを扱いながら
オンプレからクラウドへ移行し、
ゼロトラストモデルの実現を目指して

永田様 話す姿

今回の取り組み以前は、情報セキュリティーについてどのように対策していましたか。

回答者:渡邉様

渡邉様

一般的な境界防御モデルを採用していました。社内と社外に境界線を設け、その境界にファイアウォールといったセキュリティー対策を施す方法です。本社とデータセンターにオンプレミスサーバを置き、病院からお預かりした医療データを加工、クレンジングしてからデータ分析基盤に格納し、各サービスに展開するというデータフローを構築していました。
しかし3年ほど前から本格的なクラウドシフトに着手し始め、サービスのAWS移行を受けてデータ分析基盤もクラウド環境に移行していくことになりました。結果、守るべきデータが社内にほとんど存在しない状態になったことで、クラウドネイティブな認証基盤により「誰が、いつ、どこから、どこにアクセスしているのか」を監視、制御できる環境、つまりゼロトラストモデルのネットワークへの移行を進めることになったのです。

ゼロトラストモデルへ移行するにあたって、どのように予算を確保したのでしょうか。

回答者:渡邉様

渡邉様

クラウドシフトを進める以前の段階から、経営会議の場で何度もゼロトラストモデルの話題を出し、「ネットワークとその環境ごと変えていくため、ある程度の投資額になる」と経営陣には伝えていました。このタイミングでは、まだ追加の予算が必要になることしか伝えられておらず、クラウドシフトで削減される予算までは経営層に浸透していなかったと思います。
予算を確保できたのは、オンプレミス環境の保守運用と、ライセンス更新が近づいてきた頃です。このタイミングで経営陣に対して「オンプレミス環境を維持するためには何千万という費用をかけて、保守運用サービスを更新し、必要なハードウェアを買い直し、さらに必要な仮想基盤のライセンスを購入し直す必要があります。同じ規模の予算でゼロトラストに移行するのとでは、長期的に考えてどちらがよいでしょうか」と費用対効果と削減されるコストを合わせて提案しました。ゼロトラストモデルの考え方を事前に浸透させていたこと、長期的な視点と費用の観点からオンプレミスとクラウドを比較したことが、ゼロトラストモデルへ舵を切れた決め手でした。

ゼロトラストモデルへ移行するにあたって、どのような課題があったのでしょうか。

回答者:永田様

永田様

今回、Okta Workforce Identity Cloud(以下、Okta WIC)とNetskopeを導入する以前は、WindowsのサーバのActive Directory(以下、AD)に加え、他社製の認証基盤ソリューションを導入しており、このアカウント管理を一元化したいと考えていました。
これまでADのグループポリシーなどの機能でさまざまなサーバや端末を制御していたのですが、社内ネットワークをクラウドシフトしていく上での制約となっていたため、ADのロックを外すことも課題のひとつでした。また、他社製の認証基盤ソリューションでは、連携できるサービスやアプリが少なく、アカウントのプロビジョニングがGoogle Workspaceしかできなかったことも、当時の悩みでしたね。

Okta WICとNetskopeの導入支援パートナーに
選んだ決め手は、自分たちで導入、活用していること

渡邉様 笑顔で回答する姿

Okta WICでアカウント統合の対象となるクラウドアプリケーションを教えてください。

回答者:永田様

永田様

メールやカレンダー機能といった「Google Workspace」をはじめ、クラウドサービスプラットフォームの「AWS」や顧客管理システム・営業支援システムの「Salesforce」、勤怠管理システムの「チームスピリット」などが対象になります。

どのような要素を重視して他社ツールとOkta WICを比較検討しましたか。

回答者:永田様

永田様

当初は、ADと同じくMicrosoft社のMicrosoft Entra ID(旧Azure Active Directory)への移行と、Okta WICの導入が候補に挙がっていました。Okta WICにはアプリケーションのプロビジョニング機能によってアカウント管理が自動化できること、一度のOkta WICへのユーザー認証で、複数のアプリケーションがパスワードレスで利用可能となるシングルサインオン(SSO)機能など、さまざまな機能が実装されており、ヘルプデスクチームの工数削減になると感じました。
豊富な機能の中でも特にOkta WIC導入の決め手となったのが、エンドユーザーの本人確認にパスワードやSMS、メールなどに加えて指紋や顔による生体認証(YubiKey OTP)といった多要素認証(MFA)の設定が利用環境ごとに柔軟に行えることです。Okta WICの導入は正直なところ安い投資ではありませんが、この多要素認証の実現は必須だと考えていました。

Netskopeと他社ツールの比較検討では、どのような要素を重視していましたか。

回答者:永田様

永田様

社内のシステムをクラウド環境へすべて移行するため、クラウドサービスに対するセキュリティー機能を重要視しており、CASBのコンセプトに基づいて開発されたNetskopeを導入すべきだと考えました。CASBソリューションによって、ユーザーがクラウドベースのリソースにアクセスする際に、クラウドアプリケーションの使用を迅速に識別して監視することで、機密データの漏洩を防止することができます。
また、Netskopeはデフォルトで対応しているクラウドサービスの種類が多く、Netskope Cloud Confidence Index TM (CCI)によってそれぞれにスコアが付与されています。そのため、今後誰かが私たちが知らないクラウドサービスを使い始めても、CASBベースのスコアをもとに危険度を判断できるのもメリットですね。

Okta WICとNetskopeの導入を支援するパートナー企業に、弊社を選定いただいた決め手をお聞かせください。

回答者:永田様

永田様

当初、大手SIer企業さんにご相談していたのですが、より小回りが利いて、柔軟に対応いただけるパートナー企業のほうが弊社の体制にあっていると感じました。そこである大手IT企業さんからネクストモードさんをご紹介いただくことになったのです。
案件に対する柔軟さでは、弊社からの質問や相談に対するレスポンスの速さと回答のクオリティが重要でした。もともと、私たちにはOkta WICとNetskopeの専門的な知識や実績はなかったため、気軽にいろいろな質問や相談ができて、タイムリーにご対応いただきたかったという事情があります。メールではなく、Slackで専用チャンネルをご用意していただけることも嬉しかったですね。
そして決め手となった一番の要素が、ネクストモードさん自身がOkta WICやNetskopeといった、導入支援を手掛けるサービスをまず自社で導入、運用されていることです。自社でも導入しているので、導入のポイントやノウハウ、どこで苦戦するのか、その乗り越え方を実体験で理解されています。この要素が安心材料となり、取り組みを正式に決定しました。

手順書の展開やオンラインで
初期設定のサポートを実施。
ツールを活用した進捗管理も高評価

永田様と渡邉様 真剣に話す姿

Okta WICとNetskopeの導入はどのように進行しましたか。

回答者:永田様

永田様

社員や業務委託の方を含め合計300アカウントほどを対象に、2023年5月よりまずOkta WICの導入が始まり、11月からはNetskopeの導入が始まっています。Okta WICの導入については、デスクトップPCを使用している社員用の指紋認証に対応したUSBデバイス導入に時間がかかりました。
新しい認証方法の社内浸透には、今回は勉強会や説明会を開くのではなく、社内向けのヘルプデスクにOkta WICとNetskopeに関する特設ページを開設し、操作マニュアルやQAを設置、問い合わせができるようにしました。これまでに大きな混乱はなく、順調に導入が行えていると考えています。

ネクストモードからのサービス体制で、どのような点を評価いただいていますか。

回答者:永田様

永田様

取り組み初期にOkta WIC導入の手順書を展開いただき、私たちで社内向けにカスタマイズして社内ヘルプデスクに反映しています。手順書の内容は画面キャプチャーが豊富で操作方法が分かりやすかったです。加えて、シングルサインオン(SSO)の設定時はリモートで同席いただき、以前のセキュリティー体制からの移行をスムーズに進めることができています。
Netskopeについては、インターネット上にはあまり情報がなく、操作が止まってしまうこともしばしばありました。そこでネクストモードの担当の方に相談させていただき、ようやく正しくインストールできています。
また、導入時のサポートだけでなく、毎週のオンライン会議で進捗管理をしていただけたのも助かりました。プロジェクト進捗管理用のツールを使うだけでなく、毎回の定例会で宿題を出されていたので、何をいつまでにやるべきなのかを明確に把握できていました。

迅速な対応でスムーズなSaaS導入を実現。
ノウハウの蓄積だけでなく、
その他のSaaS導入も進行中

永田様 パソコンを操作する姿

進行中のお取り組みも残っている現段階で、Okta WICとNetskopeの導入によって得られた成果を教えてください。

回答者:永田様

永田様

ログインに生体認証が使えるようになったことで、わざわざパスワードを打つ必要がなくなって楽だとの声を社員から聞きました。ログインにかかる手間と時間は数秒から1,2分ほどではありますが、全社的、長期的に見れば大きな成果です。また、少し席を離れても、席に戻ってすぐに顔認証でログインできるのでPCをロックして離席する習慣が以前に増して浸透したように思います。
Netskope導入は現在進行中ですが、社内リソースにアクセスする際にVPNを張る必要がなくなるのは大きなメリットです。

回答者:渡邉様

渡邉様

社員のアカウントやデバイスを管理するヘルプデスク業務も以前に比べて楽になっています。プロビジョニングできる対象範囲が増えたことで、社員の入社・退職、移動に伴うアカウント管理の手間が改善しています。複数のツールや環境ごとにアカウントを作成していましたが、今ではOkta WICだけで権限付与が完結しますので、単純に工数が半分以下になっている印象です。

弊社の「SaaSライセンス&サポート」に対して、どのように評価いただいていますか。

回答者:永田様

永田様

どうしてもメーカー側の確認が必要な場合を除き、私たちの要望に対して迅速にご対応いただけました。導入後はヘルプデスクだけでなく、現場の社員からもさまざまな質問が寄せられており、現場の業務を止めないためにも迅速に回答できたのはとても助かりました。
ゼロトラストモデルのセキュリティー体制に対する考え方は、やはりオンプレミス環境の頃とは大きく違います。しかし今回のネクストモードさんとの取り組みによって、Okta WICやNetskopeに関するノウハウを含め、課題解決のための知見が少しずつ貯まってきていると感じますね。

医療現場のDX推進における
模範的な存在を目指して

メディカル・データ・ビジョン株式会社 エントランス

情報セキュリティーリスクに対する、今後の展望をお聞かせください。

回答者:渡邉様

渡邉様

万が一、弊社から医療データが漏洩したとなれば、一般的な情報漏洩よりも、社会的な影響は大きいでしょう。最近になってようやく厚生労働省が「医療DX」を掲げ、「DX 推進ガイドライン」としてデータ活用を推進するようになりましたが、もともと医療業界には医療データを活用しようという意識がなかったですし、病院の外で収集し、活用するという考えに対して、否定的な意見があり、それは現在もまだ残っていると思います。
そうした業界において弊社が病院から医療データをお預かりできているのは、「MDVさんであれば」という信頼関係を地道に築いてきたからです。これでもしMDVにおいて情報漏洩が起きてしまえば実質的な損害だけに留まらず、これまでの信頼関係が崩れてしまい、規模によっては医療業界におけるデータ活用の推進を停滞、さらには後退させることにも繋がりかねません。
弊社ではまだ社員数が20名ほどの規模であった頃からリスクコンプライアンス部門を立ち上げ、専任の担当役員も設置して情報セキュリティーリスクの管理、低減に取り組んできました。セキュリティーに投じる金額自体は、オンプレミス環境だった以前よりも増えましたが、今後も変わらずクラウド時代に最適な情報セキュリティーリスク対策に取り組んでいきます。そして、フルクラウドと万全なセキュリティーを両立することで、医療現場のデータ利活用における模範的な存在になりたいと考えています。

最後にOkta WICやNetskopeの導入を検討している企業へアドバイスをお願いします。

回答者:永田様

永田様

企業規模にはあまり関係なく、弊社のようにクラウド化を進めている企業にはそれぞれのツールはおすすめできると思います。
また、ネクストモードさんのアジリティが高いサポートは、事前に仕様が完全にフィックスしていない状態で導入を進めていく企業には最適かもしれません。そもそも情報セキュリティーのハードルが高かったり、要件定義が難しいために運用しながら最適化する必要があったりと、弊社のように複雑な課題を抱えている企業の方にはぜひ一度、ネクストモードさんに相談してみることをおすすめします。

導入事例

クラウドで
あたらしい働き方を

資料請求 お問い合わせ