陽性者登録システムを短期間で実装 迅速な導入とサイバー脅威対策で府民を守る
大阪府は、Salesforceを活用したシステム上で従来のエンドポイント保護製品では対応できない Salesforce 環境上のコンテンツのスキャンを短期間で導入できることが決め手となり、ウィズセキュアの「WithSecure™ Cloud Protection for Salesforce」を採用。セキュリティを担保した陽性者登録システムの稼働を短期間に実現した。
公共システムにアップロードされる画像に潜むマルウェア対策が急務
新型コロナウイルス感染症に対して、常に先駆的に対策を重ねている大阪府。感染拡大や医療提供体制のひっ迫状況を示す指標である「大阪モデル」など独自の施策に加え、ICTを効果的に活用しながら対策に取り組んでいる。
その一例が「大阪府療養者情報システム(Osaka- Covid19 - Information-System)」(以下、O-CIS)だ。新型コロナウイルス患者の療養先となる宿泊や入院調整などを行うため、保健所や宿泊療養施設をはじめとする関係者と、申請内容や患者情報などの共有を図るシステムである。
従来は表計算ソフトとメール、電話・FAXで情報を共有していたが、 O-CISの導入によって、情報の一元化とリアルタイムで情報の共有ができるようになるとともに、事務処理の簡素化も実現した。O-CISの導入前は、陽性者の宿泊の手続きには最短でも2日要していたが、導入後は最短でその日のうちに手続きが完了するようになった。また、各医療機関において、リアルタイムで病床稼働状況を把握できるようになり、データの見える化にも大きく貢献している。このシステムのプラットフォームとして、大阪府が採用しているのがSalesforceだ。
一方、2022年9月12日、政府の新型コロナウイルス感染症発生届の全数把握見直し表明を受け、大阪府はO-CIS上に新たに「大阪府陽性者登録センター」を開設し、陽性者が直接登録することができるシステムを構築した。陽性者は登録の際、運転免許証などの本人確認書類と検査結果資料の画像をアップロードする必要がある。そのため、ポイントとなったのは、アップロードされる画像に起因するサイバーリスクを軽減する機能の追加による安全性の確保だった。
大阪府 健康医療部 保健医療室感染症対策支援課 総括主査 寺岡 新司 氏は「府民の皆様を装って、マルウェアが仕込まれた画像がアップロードされた場合、O-CISが甚大な被害を受けてしまいます。また、これまでO-CIS上での画像アップロードは、医療機関の中で限られたメンバーに対して活用されていましたが、陽性者本人に登録していただく場合は、マルウェア対策によるセキュリティ確保は必須でした。そして、なるべく早い時期から陽性者登録を行えるよう、短い期間で導入できることも優先度の高い要件として求められていました」と振り返る。
健康医療部
保健医療室感染症対策支援課
総括主査
寺岡 新司氏
短期間でCPSFによるマルウェア対策を実装した陽性者登録システムを開設
こうした要件を踏まえ、大阪府が導入支援企業の提案を受けながら採用に至ったのが、ウィズセキュアの「WithSecure™ Cloud Protection for Salesforce」(以下、 CPSF)だ。Salesforce環境にアップロードされる悪意のあるファイルやURLを使ったサイバー攻撃から、利用企業やユーザーを保護するSalesforceに特化したクラウドベースのセキュリティソリューションである。CPSFは、Salesforce社と共同で設計・開発されており、Salesforce環境とのシームレスな統合と信頼性を確保している。SalesforceとのCloud-to-Cloudでのネイティブな統合によって、ミドルウェアを必要とせず簡単に導入できる。CPSFは、Salesforce環境のネイティブセキュリティ機能を補完するために設計されており、ユーザーが感じる遅延を最小限に抑え、Salesforce本来の使い勝手を維持できるように設計されている。
寺岡氏はCPSFの採用理由を「アップロードされた画像に起因したサイバーリスクを軽減することは重要な要件でした。それに加えて、限られた時間の中で、短期間で確実にシステムを開設することが絶対条件でした。その点、CPSFは私たちの要望に最適なソリューションでした」と話す。
O-CISの改修が完了し、大阪府陽性者登録センターでの登録を開始し、運用がスタートしたのは9月30日で、短期間での導入・稼働を実現した。CPSF自体は通常、数分間でSalesforceに導入できるため、確認も含めて1日で検収が完了したという。
また、運用の容易さも高く評価されている。陽性登録の際、府民がアップロードするすべての画像ファイルは、自動的にスキャンされてマルウェアの検知が行われる。O-CIS担当の府職員も、特別なトレーニングなどは一切不要であり、仮に有害と評価された画像は、自動的に削除またはブロックされるため、運用管理負荷は低い。
「府民も府職員もCPSFを意識せずに使えて、セキュリティを担保できる点を高く評価しています。大きなトラブルもなく運用できており、2023年1月末の時点で約48万人の陽性者登録を終えています」(寺岡氏)
今後も府民による画像アップロードの仕組みのもとで、CPSFを用いたマルウェア対策を継続していく。加えて、画像アップロードに関するさらなる機能追加をCPSFに期待しているという。
「画像にマルウェアは含まれていないものの、本人確認書類や検査結果資料とは無関係な画像がアップロードされる可能性があります。そのような画像を削除するため、現在は目視で中身を確認していますが、画像認識AIによって自動で検出・削除する仕組みがCPSFで実装されると、O-CIS以外でも活用の場面が増えそうだと考えています」(寺岡氏)
O-CIS全体についても、必要な機能追加などの改修を迅速に実施し、新型コロナウイルスから府民を守るための体制を強化していく。そしてさらに、DX(デジタルトランスフォーメーション)を推進しながらO-CISのさらなる有効活用を図っていくつもりだ。
2023 年の Salesforce セキュリティ保護
本レポートでは、グローバル市場調査による最新のデータ、WithSecure™ Security Cloudの検知データ、Salesforceセキュリティ専門家の知見を提供し、2023年以降のSalesforceセキュリティ戦略に役立てることができます。
もっと詳しくSalesforce のセキュリティ対策: 気をつけるべき 7 つの注意点
Salesforceは世界をリードするCRMシステムです。Sales Cloud、Service Cloud、Experience Cloud などの Salesforce 環境のアプリケーションは、今日幅広い業種・業態の企業にとってビジネスに不可欠なサービスとなっています。
もっと詳しく