38 の病院と 3,700 人を超えるコンサルタントを擁する英国の大手民間医療サービス提供者であるSpire Healthcare は、より多くのサービスをオンラインに移行するにつれて、applicationのセキュリティを強化する必要がありました。 スパイアは、極めて機密性の高い患者データを保有し、国民保健サービス(NHS)や大手保険会社などのパートナーと連携しており、自社のセキュリティが最高水準で信頼できるものであることを関係者に示す必要もあった。 2016 年に、同社は F5 とSilverline (F5 のクラウドベースのマネージドapplicationサービス プラットフォーム) に目を向けました。
Spire は、予約、個人情報の閲覧、支払いを行うための MySpire ポータルなど、顧客向けのデジタル サービスをさらに開発するにつれて、より機密性の高い患者データもオンラインで公開するようになりました。
リスク プロファイルが増大するにつれ、技術チームはユーザーの行動に関する重要な情報が不足している状況に陥りました。 既存のシステムでは、顧客が Spire のサービスに接続するためにどのデバイスを使用しているか、またいつ安全でない方法で接続している可能性があるかを示すことができませんでした。 この可視性の欠如により、チームは重要なセキュリティのアップグレードを行うことができませんでした。
「たとえば、TLSv1.0 をサポートしていないデバイスで接続しているユーザーがいるかどうかわからなかったため、SSLv3 経由のアクセスを制限するという決定を下すことができませんでした」とテクニカル オペレーション マネージャーの Rob Sissons 氏は振り返ります。
重要な技術的変更を行うための情報が不足しているだけでなく、IT チームは、データ セキュリティに関する社内からの問い合わせに応答できないことがよくありました。 また、スパイアは、定期的に患者をスパイアに紹介している大手保険会社とNHSが、データが安全に保管されていることを確認するために実施する監査にも備える必要があった。
Spire は、顧客のデジタル サービスへのアクセスを妨げることなくデジタル サービスのセキュリティを向上させるために、applicationセキュリティのマネージド サービス プロバイダーを探すことにしました。
進化するセキュリティ ニーズに対応するため、Spire は、F5 の顧客対応セキュリティ スペシャリストの拠点であるセキュリティ オペレーション センター (SOC) から 24 時間体制のサポートを受けながら、F5® Silverline® Webapplicationファイアウォール (WAF) と F5® Silverline® DDoS 保護をマネージド サービスとして実装することを選択しました。
「SOC は私たちにとって本当に利益をもたらすものです」とシッソンズ氏はコメントしています。 「変更を実施するときに、知識豊富なもう一組の目がそれを精査してくれるという自信が得られます。 多くの場合、私たちがやろうとしていることを最適化する方法について、チームからアドバイスが返ってきます。」
SOC チームは、サードパーティ開発者によるものも含め、Spire が新しいapplicationsを開発および実装する上で不可欠な要素となっています。 Spire は、空のテンプレートから開始し、繰り返しのテストを通じて特定された誤検知を許可リストに登録することで、WAF ポリシーを決定します。
「私たちが何かを公開するよう要請すると、SOC は私たちの提案内容を再確認します」とシッソンズ氏は説明した。 「ニッチな臨床applicationsは、必ずしも期待どおりに安全であるとは限りません。 F5 からの情報により、サードパーティのソフトウェア開発者に再度連絡して、applicationsの問題を指摘することになったケースもいくつかあります。」
Spire が F5 と連携している間に、同社のapplicationエコシステムは多様化し、より複雑になってきました。 これには、保険会社が患者を紹介し、患者の詳細をより簡単に転送できるようにする API の組み込みが含まれます。 Silverline は、Spire が顧客、コンサルタント、主要パートナーに提供するデジタル サービスを継続的に開発および強化できるようにするセキュリティを提供します。
Silverline サービスは、SOC のサポートにより、Spire が保存する機密データに応じたレベルのapplicationセキュリティを実装し、時折発生する重大なインシデントに迅速に対応するのにも役立っています。
さらに、Silverline は Spire の全体的なセキュリティ ポリシーの進化をサポートし、ユーザーの行動に関する可視性とデータを提供することで、IT チームが全体的なセキュリティ ポリシーを改善するのに役立ちます。 また、顧客がこれまで存在しなかったサービスにどのようにアクセスしているかについても詳細な情報を提供します。
「例えば、TLS の強化については、情報セキュリティ チームは、Silverline が提供する、通過する接続や安全でない接続の送信元に関するデータに大きく依存しています」とシッソンズ氏は述べています。
Silverline のもう 1 つの重要な利点は、Spire のネットワークに対するアクティブな脅威に対処できることです。 最近の大規模な DDoS 攻撃の際、SOC は攻撃元に関する情報を提供し、Spire のインターネット サービス プロバイダーとの話し合いに参加するなど、積極的に対応に取り組みました。 「このような大規模な攻撃は展開が早く、発生と同時に捜査が行われる」とシッソンズ氏は振り返る。 「私たちは常に SOC とのオープンなコミュニケーション チャネルを確保しており、SOC は電話会議にも同席し、貴重なサポートを提供してくれました。」
Spire は、日常的に SOC の専門家メンバーが常に対応可能であると確信しています。 「マネージドサービスの一環として、非常に短い時間で非常に熟練した人材を派遣することができます」とシッソンズ氏は付け加えた。 「私たちがこれまで要求したことで、SOC ができなかったことは何もありません。」
Silverline は、Spire のより広範なエコシステムにもプラスの影響を与えています。 第三者からの患者紹介は同社のビジネス モデルの重要な部分であり、マネージド サービス プロバイダーとしての F5 の存在は、データ セキュリティポリシーと保護が厳格な基準を満たすことができることをこれらのパートナーに安心させるのに役立っています。 Silverline は、保険パートナーによる監査への対応や、NHS の医療および社会福祉ネットワーク (HSCN) への参加の前提条件であるセキュリティ ツールキットにも携わっています。 「外部監査において、これらのサービスを保護する専門のセキュリティチームが存在すると言えるのは、私たちにとって良いことだ」とシッソンズ氏は付け加えた。