医療機関で活躍する認証／アクセス管理製品（1/2 ページ）

シングルサインオンと認証／アクセス管理機能を提供するソフトウェアスイートが、医療機関の従業員の異動に伴うIT部門の管理負担を軽減するとともに、セキュリティとコンプライアンスの改善に役立っているようだ。

[Sharon Linsenbach，eWEEK]

　医療機関の場合、退職した従業員とはもう何の関係もないと安心してはいられない。総合的な認証／アクセス管理プランが確立されていなければ、セキュリティ侵害を招く恐れがあるのだ。

　シングルサインオンと認証／アクセス管理用ソフトウェアのベンダーであるCourionの企業開発担当副社長、カート・ジョンソン氏は、「多くの医療機関のポリシーには、従業員の解雇プロセスの中でユーザーアカウントを無効するという規定が欠落している」と指摘する。

　ジョンソン氏によると、従業員が医療機関を去ってから何カ月も、あるいは何年も経った後で、彼らの名前や個人情報がさまざまなアプリケーションの中にまだ漂っているのを見るのは珍しいことではないようだ。元従業員のアカウントがまだ生きていて、それがセキュリティホールになる場合もあるという。

　従業員が同一組織内で仕事が変わったのに、新たな職務で必要としないアプリケーションや情報へのアクセスを維持したままという「越権アクセス」の問題が生じることもあるとジョンソン氏は話す。これは大きなセキュリティホールであり、多くの病院がこの問題に対処するのに苦労しているという。

　病院の認証／アクセス管理ポリシーが甘ければ、必要以上に多くの従業員がセンシティブな患者データにアクセスできるために、データ流出やセキュリティ侵犯のリスクが高まる。逆にポリシーが厳格すぎると、本当にアクセスを必要とするのにアクセス権が与えられない従業員がポリシー違反を犯すことになりかねない。

　「医師、看護師、介護士が重要な医療情報へのアクセス権を与えられなければ、彼らはそういった制限を回避する方法を見つけようとするだろう」とジョンソン氏は語る。同僚に頼んでセンシティブな患者データが含まれるアプリケーションにログインしたままにしてもらったり、同僚とパスワードを共有したりといった手段が用いられることもあるという。

パスワードを書いた付箋がなくなる

　ジョンソン氏によると、Courionでは、アプリケーションへのサインオンを自動化し、パスワードの再設定、ユーザーのプロビジョニング、アカウントの有効化／削除といった定型業務を効率化すれば、認証／アクセス管理を強化できると考えており、病院がセキュリティを維持し、HIPAA（医療保険の相互運用性と説明責任に関する法律）に準拠するのも容易になるという。

　WellSpan HealthでITサービス／運用／セキュリティを担当するディレクター、マーク・ジェイコブズ氏によると、パスワードの再設定および医療機関のエンタープライズシステム全体にわたる同期化作業を自動化する機能を備えた「Password Courier」のおかげで、同病院の医師がパスワードを管理するのが楽になったという。

　「複数のシステムへのアクセスを1つのパスワードで同期化する機能が、当病院にとって大いに役立っているのは確かだ」とジェイコブズ氏は話す。同氏によると、患者のデータが15カ所あるいは20カ所といった多くの異なる場所に保存されているケースもあり、それぞれに対して異なるパスワードを覚えておくのは大変だったという。

　「CourionのSSO（シングルサインオン）システムは、WellSpanの臨床医の間で非常に好評だ」（ジェイコブズ氏）

　Memorial Sloan Kettering Cancer Centerで顧客サービス／情報システムグループのディレクターを務めるレイチェル・ヘフトラー氏によると、CourionのPassword Courierによって重大なセキュリティ問題が解決しただけでなく、職員がセキュリティ手順に従うのが簡単になったという。

　「ユーザーのパスワードが書かれた付箋を見かけることもなくなった」とヘフトラー氏は話す。パスワードの再設定も簡単で、ユーザーにオンライン上あるいは電話で「秘密の質問」に答えるさせるだけという。

　Alegent Healthで技術管理を担当する運用責任者のトロイ・ホットビー氏によると、Courionの「Account Courier」ソフトウェアのおかげで、IT部門の管理負担が大幅に軽減したという。Account Courierは、多数の医療関連ITアプリケーションにわたってアカウントの作成と管理を自動化する。