Spire Healthcare、F5ソリューションによりデジタル サービスの進化を安全に実現

Spireは、予約や個人情報の閲覧、支払いができるMySpireポータルなど、顧客向けのデジタル サービスを開発する一方で、より機密性の高い患者データのオンライン化も進めていました。

リスク プロファイルの増加に伴い、技術チームはユーザーの行動に関する重要な情報が不足している状況に気付きました。既存のシステムでは、顧客がどのデバイスを使ってSpireのサービスに接続しているのか、また、安全でない方法で接続しているのはどのような場合かを把握することができませんでした。このような可視性の欠如は、重要なセキュリティ アップグレードを行う上での障害となっていました。

「例えば、TLSv1.0に対応していないデバイスで接続しているユーザーがいるかどうかわからないため、SSLv3でアクセスを制限するという判断はできませんでした」と、テクニカル オペレーション マネージャーのRob Sissons氏は振り返ります。

技術的に重要な変更を行うための情報が不足しているだけでなく、ITチームはデータ セキュリティに関する社内からの問い合わせに対応できないことが多々ありました。また、日常的に患者データをSpireで照会している大手保険会社やNHSが、データが安全に保管されていることを確認するために実施する監査にも対応しなければなりませんでした。

顧客がデジタル サービスにアクセスできる状態を維持しながら、デジタル サービスのセキュリティを向上させたいと考えたSpireは、アプリケーション セキュリティのマネージド サービス プロバイダーを検討することにしました。

進化するセキュリティ ニーズに対応するため、SpireはF5® Silverline® Web Application Firewall（WAF）とF5® Silverline® DDoS Protectionをマネージド サービスとして導入し、F5の顧客向けセキュリティ スペシャリストの拠点であるSecurity Operations Center（SOC）による24時間体制のサポートを受けることにしました。

「SOCは、私たちにまさに恩恵をもたらしました。何かを変えようとしたときに、それを精査している知識豊富なもう一人の目があるという安心感を与えてくれます。私たちが行おうとしていることのほとんどについて、SOCチームはそれを最大限、効果的に行う方法を提案してくれます。」とSissons氏は述べています。

SOCチームは、サードパーティの開発者を含め、Spireが新しいアプリケーションを開発・実装する際に不可欠な存在となっています。Spireは、WAFのポリシーを決定する際に、まず白紙のテンプレートを作成し、テストを繰り返すことで特定される誤検出をリストアップします。

「私たちが何かの利用を開始しようとするとき、SOCは私たちの提案を入念にチェックします。」とSissons氏は説明します。「ニッチな臨床アプリケーションは、必ずしも安全であるとは限りません。F5の意見を参考にして、サードパーティのソフトウェア開発会社にアプリケーションの問題点を指摘することもありました。」

SpireがF5を利用しているその間にも、同社のアプリケーション エコシステムはさらに多様化し、複雑さを増しています。これには、保険会社が患者を照会し、その詳細をより簡単に転送できるようにするためのAPIも組み込まれています。Silverlineは、Spireが顧客、コンサルタント、主要パートナーに提供するデジタル サービスを継続的に開発、強化するためのセキュリティを提供しています。

また、SOCのサポートとSilverlineサービスにより、Spireは保存する機密データに見合ったレベルのアプリケーション セキュリティを実装し、時折発生する重大なインシデントにも迅速に対応できるようになりました。

さらに、Silverlineは、Spireのセキュリティ ポリシー全体の進化をサポートし、ユーザー行動を可視化してデータを提供し、このデータはITチームがセキュリティ ポリシー全体を改良するのに役立ちます。また、以前は存在しなかった、顧客がサービスにどのようにアクセスしているかを示す詳細なデータも提供します。

「例えばTLSを強化する場合、情報セキュリティ チームは、どのような接続を通過しているのか、安全でない接続はどこを経由しているのか、など、Silverlineが提供するデータを非常に重視しています。」とSissons氏は述べています。

Silverlineのもう1つの重要なメリットは、Spireのネットワークに対する能動的脅威に対処できることです。最近発生した大規模なDDoS攻撃では、SOCが積極的に対応に参加して、攻撃元に関する情報を提供し、Spireのインターネット サービス プロバイダとの話し合いにも参加しました。「あのような大規模な攻撃では、状況が目まぐるしく変化し、発生した時点で調査を行うことになります。」とSissons氏は振り返ります。「私たちはSOCと終始、連絡を取り、彼らは電話でも対応してくれ、非常に貴重なサポートを提供してくれました。」

Spireは日常的に、SOCの専門家がいつでも対応してくれることを確信しています。「マネージド サービスの一環として、熟練した人材をすぐに現場に投入することができます。私たちがこれまでに依頼したことで、SOCが対応できなかったことはありません。」

Silverlineは、Spireの幅広いエコシステムにも良い影響を与えています。サード パーティからの患者照会はそのビジネス モデルの重要な部分であり、マネージド サービス プロバイダとしてF5が存在することで、これらのパートナーはデータ セキュリティ ポリシーと保護対策が厳格な基準を満たしていることを確信できます。Silverlineは、保険パートナーによる監査への対応や、NHSのHealth and Social Care Network（HSCN）への加盟の前提条件となるセキュリティ ツールキットの提供でも重要な役目を果たしています。「外部監査で、専門のセキュリティ チームがこれらのサービスを保護していると言えるのはすばらしいことです。」とSissons氏は付け加えています。