医療機関で活躍する認証/アクセス管理製品(2/2 ページ)

» 2008年04月02日 18時26分 公開
[Sharon Linsenbach,eWEEK]
eWEEK
前のページへ 1|2       

コンプライアンス対策にも有効

 ホットビー氏によると、Alegent Healthでは180種類にも及ぶ医療、財務、管理用のアプリケーションを運用しているため、職員のアカウントを追加し、アプリケーションに対するアクセスを設定するのが面倒な作業となっていた。新たに採用した従業員の情報は手作業で入力しなければならず、この作業に3〜5日もかかることがあったという。それでも、仕事に必要なアプリケーションへのアクセスが与えられなかった職員もいたりした。そういった職員の中には、アクセス権を請求して承認を受けるまでの間、同僚の名前やパスワードを使ってログインする人もいたという。

 「人事部門が新規採用者のオリエンテーションを準備したらすぐに、アプリケーションへのアクセス権限のプロビジョニングを行えるようになった」とホットビー氏は話す。同氏によると、Alegentでは現在、組織内の従業員の職務内容に加え、そのスタッフが何階で働いていて、どの患者を担当しているのかといった情報に基づいてアプリケーションのアクセスを許可できるようなシステムづくりを進めているという。

 このシステムでは、例えば、腫瘍専門医であれば、腫瘍関連のアプリケーション、リソース、記録へのアクセスが自動的に許可されるようになる。看護師長には広範な種類のアプリケーションへのアクセスが許可される、といった具合だ。各職員の役割は、個々の病院のニーズに合わせて修正することができる。同じ肩書きの職員でも、医療機関によってその職務内容が多少異なる場合があるからだ。

 ホットビー氏によると、認証/アクセス管理ソフトウェアの導入は、セキュリティプロセスの改善につながった。Alegentではさらに、物理的アクセスのプロビジョニング(従業員の職務に応じて病院内の特定区域への立ち入りを許可/禁止すること)や、病院のノートPC、スマートフォン、携帯電話などの資産のプロビジョニングも目指しているという。

 Account Courierは、従業員の解雇にまつわるセキュリティ問題も解決してくれる。従来、ユーザーのアカウントを無効にするのには何日もかかっていた。従業員が病院を退職すると、そのアカウントは1つずつ消去しなければならず、アプリケーションごとに手作業で従業員の情報を削除する必要があったからだ。

 「誰かが取締役になるのに伴う処理に時間がかかるのは構わない。しかし解雇の場合、その人間をできるだけ早くシステムから切り離す必要がある」とヘフトラー氏は話す。同氏によると、Sloan Ketteringでは、Account Courierを導入中であり、これによりアクセスとアカウントを無効にするのにかかる時間が大幅に短縮する見込みだという。

 「Courionの製品では、1つの部署の職員のアカウントを削除すると、ほかのアカウントもすべて自動的に無効になる」とヘフトラー氏は説明する。

「誰がいつ何をしたか」も把握

 認証/アクセス管理製品はコンプライアンス問題にも役立つ。ヘフトラー氏によると、Sloan Ketteringでは「Compliance Courier」の導入も進めているという。監査に備えてセキュリティとプライバシーを確保するのが目的だ。

 「これまでの監査では、“誰が何にアクセスできたか?““誰がアクセスを許可したか?”“いつ許可したのか?”“前回、パスワードが再設定されたのはいつか?”“アカウントアクセスを再認証したか?”“前回、再認証したのはいつか?”といったことを手作業で調べなければならなかった」と同氏は話す。

 ヘフトラー氏によると、Courionを利用すれば、セキュリティとプライバシーの監査がずっと楽になるという。マネジャーは部下の職員に関する情報、その職務、そしてデータ/アプリケーションへのアクセス権限を即座に参照できるようになるからだ。

 「ある職員が不必要なアクセス権を与えられていたり、必要なアクセス権が与えられていなかったりすることが分かった場合でも、マネジャーがそのアクセス権を削除あるいは追加するのは非常に簡単だ」(同氏)

前のページへ 1|2       

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ