YubiKey導入事例:医療ITサービスプロバイダー アダプタ
YubiKeyで実現する医療従事者の迅速なログイン体験とセキュリティの両立
株式会社インターナショナルシステムリサーチ
2024年10月8日
YubiKey導入事例
医療ITサービスプロバイダー アダプタ
YubiKeyで実現する医療従事者の迅速なログイン体験と
セキュリティの両立
本事例のポイント:
- 高齢者・障害者向けケアサービス事業者へのYubiKey導入
- 約7,600名の医療従事者にYubiKeyを導入するも、導入時にトラブルはほぼ無し
- 主な連携システム:Google Cloud
- 管理者の時間を節約
- フィッシング詐欺のリスクを軽減
アダプタ社の課題
オランダのIT医療サービスプロバイダー「アダプタ」は医療機関向けのエンタープライズ アーキテクチャ(EA)の構築・運営を専門としており、特に高齢者や障害者向けのケアサービス事業者へのIT支援に重点を置いています。
アダプタは介護施設のスタッフへの多要素認証(MFA)ソリューションの導入を検討していましたが、従来の認証アプリは介護の現場に適していないことが分かりました。
高齢者施設や障害者ケア施設で勤務しているスタッフはスマートフォンではなく、ノートパソコンやタブレットを使用し、ケア業務と事務を並行して行っています。
報告書を書いたりデータを確認するためシステムに1日に何度もログインする必要があり、スマートフォンを用いた認証アプリの多要素認証(MFA)では時間が余計にかかってしまい、介護業務を圧迫するばかりかストレスの原因となりえます。
そして、スマートフォンを用いた認証アプリの多要素認証(MFA)はアカウント乗っ取りやフィッシング攻撃への脆弱性が指摘されています。
管理者にとっては、認証アプリの配布やバージョン管理、スマートフォンの導入コストや備品管理といった運用の手間が懸念されました。
また、オランダのヘルスケア業界では四半期ごとにパスワードを変更するポリシーがありますが、残念なことに、これによりパスワードを予測可能なワンパターンなものに設定してしまうことが多く、フィッシング攻撃からの脆弱性に課題を抱えていました。
YubiKeyの課題解決
YubiKeyはアダプタの課題を解決できました。
セキュリティレベルを高めつつ、患者ケアの時間は確保
スマートフォンを用いた多要素認証(MFA)では、アプリやテキストメッセージによるコード入力などにより、ログインに30秒から40秒もかかることがあります。アダプタでは、Google Cloud ChromeOSのパスワードとYubiKeyの組み合わせによりログイン時間を10秒未満に短縮できました。 スタッフは患者ケアにより多くの時間を割けるようになり、ストレスフリーでセキュリティレベルを高めることができたのです。
素早く簡単な導入
アダプタはオランダの2つの介護組織に、最高レベルの認証セキュリティであるFIDO U2FおよびFIDO2/passkeyプロトコルを満たすYubiKeyを導入しました。
1つ目の組織では約6,500 人のスタッフにYubiKeyを導入しましたが、スタッフが複雑な設定を行う必要はなく、アダプタは導入サポートチームを設置する必要すらありませんでした。
2つ目の組織では、約1,100人の医療スタッフと介護士にYubiKeyを導入しました。説明ビデオを作成するなどの準備を行ったところ、切り替えは一晩で完了し、即座に業務で利用することができました。
管理者の時間の節約
一般的に、従来の認証アプリを導入すると、新しい従業員への認証アプリの配布やメンテナンス、バージョン管理に多くの手間がかかります。しかし、YubiKeyを導入することで、これらの作業が不要になりました。
特に新しいスタッフが入社する際には、YubiKeyとアカウント情報を受け取るだけですぐに業務を開始できるため、管理者の負担が大幅に軽減されています。
フィッシング詐欺によるアカウント乗っ取りリスクの軽減
メールアドレスやパスワードが盗まれてフィッシング攻撃を受けたとしても、YubiKeyがアカウントに登録されている場合、ハッカーが物理的にYubiKeyを盗まない限りスタッフのアカウントにログインすることはできません。
これによりアカウント乗っ取りを最高レベルのセキュリティで防ぐことができています。
アダプタが達成した業務改善とDXビジョン
アダプタは経営陣、サポートチーム、医師、施術者、看護師、そして多数のボランティアが働いており、セキュリティと使いやすさを両立した多要素認証(MFA)ソリューションを求めていました。その中で、YubiKeyとGoogle Cloudの組み合わせは非常に効果的であることを体験しました。
今後さらにYubiKeyを導入することで、将来はパスワードを使わない職場環境が実現できると期待を寄せています。
また、よりスムーズなデジタル体験は、スタッフの採用と定着において重要です。アダプタは今後、YubiKeyを建物への入退室や文書の印刷など多目的に活用しDXを実現することで、働きやすい環境を選ぶ医療従事者のニーズに応えようとしています。
本記事はYubico社ホームページのWeb記事をYubiKey公式代理店の株式会社ISRがYubico社の許可を得て翻訳、要約したものです。
- Yubico社記事: Adapta secures healthcare workers with YubiKeys
- 翻訳・要約:株式会社インターナショナルシステムリサーチ
- 画像はイメージです。
YubiKey導入のご相談は メーカー公式代理店のISRまでお問い合わせください!
\導入のご相談等・金額のお問い合わせは/
フォームから問い合わせお電話でもお気軽に!
03-5942-8314までお問い合わせください。
YubiKey事例を深掘り!国内公式代理店ISRの解説コーナー
貴社・貴院にも当てはまります!
令和9年(2027)年からすべての医療情報システムに「二要素認証」が義務化
本記事の事例は海外のものですが、他人事ではありません。
厚生労働省から発表されている「医療情報システムの安全管理に関するガイドライン」をご存知でしょうか?第6.0版(令和5年5月)の「システム運用編(Control)」では、以下の文言が盛り込まれました。
何をどうすれば「二要素認証」になるのか?
二要素認証を満たすためには、各種医療情報システムにログインする際、「知識情報」「所持情報」「生体情報」のいずれか2つ以上を組み合わせて認証する認証システムが必要です。
知識情報
(SYK: Something You Know)
本人しか知り得ない情報
- • パスワード
- • 秘密の質問
- • パターン情報
固有情報
- • キーボード
- • マウス
- • 記憶力
必要なもの
特殊な機器が不要
所持情報
(SYH: Something You Have)
本人しか持っていないもの
- • ICカード
- • ハードウェアトークン
- • スマートフォン
固有情報
- • ICカードリーダー
- • スキャナ
- • 記憶力
必要なもの
特殊な機器が必要
生体情報
(SYA: Something You Are)
生物固有の情報または特性
- • 指紋
- • 虹彩
- • 静脈
- • 声紋
- • 顔
固有情報
- • カメラ
- • マイク
- • 指紋/静脈リーダー
必要なもの
特殊な機器が必要
具体的には、以下のような対応が必要になります。
・社員様にスマートフォン(所持情報)を配って指紋認証(生体情報)でシステムにログインできるようにする
・YubiKey(所持情報)を導入。社員様はYubiKeyを挿してPINコード(知識情報)をシステムに入力してログインできるようにする
導入時の金銭的負担、運用の手間、医療の現場を滞りなく回すことに加え、SMS認証/ワンタイムパスワード/プッシュ通知アプリといったモバイルベースの認証はフィッシング攻撃への脆弱性が指摘されていることを考えると、YubiKeyは「1つあたりの金額がスマートデバイスに比べて安く、家や車の鍵と一緒に持ち運べて、PCに挿してタッチするだけで、高い認証セキュリティを実現」できるため、有効な選択肢です。
今後の医療・病院・介護の認証システムには、より高い認証セキュリティレベルが求められる?
令和9年の二要素認証義務化に始まり、今後も認証セキュリティの要求レベルが高まることを弊社は予測しています。 理由としては以下が代表的でしょう。
- 医療データの漏洩事故多発、攻撃の巧妙化
- 国や自治体でのセキュリティレベル向上の動き
- 医療ITサービスプロバイダーの認証セキュリティレベル強化、アメリカでのセキュリティレベル強化の動き
実は、二要素認証といっても認証方式によってセキュリティレベルに差があります。
弊社としては、FIDO2に代表される、より高いフィッシング耐性をもつ認証技術の義務化を予測しています。
あくまで予測ですが、過去の傾向と先行するIT業界やアメリカ政府の動きを鑑みると、
- スマートフォンでのワンタイムパスワードが安全な二要素認証とみなされない
- パスワードの使用が禁止される
などもありうると考えています。
さらに、導入が進むクラウドサービスへのログイン認証も強化する必要があります。この対策にはゼロトラストシングルサインオン(SSO)サービスCloudGate UNOとYubiKeyを連携することで、業界最高峰の認証セキュリティを確保できます。
FIDO2を満たす認証システムであれば、長期的な規制の更新に備えることができます。
将来を見据えて二要素認証を実現するのであれば、YubiKeyをはじめとしたFIDO2を満たす認証システムの導入を強くお勧めします。
YubiKeyの購入方法
YubiKeyの導入方法は、サブスクリプション型での購入と、買い切り方式があります。
日本で当社のみ提供!
サブスクリプションサービス
「YubiKey as a Service」の利用
(エンタープライズ・行政機関・大規模機関向け)
多くのユーザーにYubiKeyを導入する際に避けられない初期の費用・導入の大きな負担を低減し、かつ運用中のYubiKeyタイプの変更や充実したサポートをご提供する「YubiKey as a Service」が最もオススメの導入方法です。
日本では私たちISRのみYubico本社と代理店契約を結び本サービスを提供しています。YubiKeyの導入は、私たちセキュリティのプロにお任せください。
YubiKey as a Serviceを詳しく知る販売代理店を通じた買い切り
弊社をはじめとした販売代理店から買い切りで、必要な分のYubiKeyを購入する形です。
デメリットとして、買い切りのため、YubiKeyのファームウェアのアップデートや、導入時とは異なる種類のタイ
プへの変更に対して代理店は対応していないケースがあります。
弊社では買い切りでのYubiKey販売も対応しておりますので、お気軽にお問い合わせください。