ソリューションマップ case29

変化するリスクにどう向き合う？

たった一人の担当者が守る中小介護施設のセキュリティ対策

千葉県船橋市社会福祉法人清和会

インタビュー協力者：システム担当　呉服様

職員と利用者様を守る、ネットワークとセキュリティの見直し

Q1.ICT整備において、特に力を入れている取組みを教えてください

当法人では、以前まで「ほのぼのNEXT」をクラサバローカルで使用し、インターネットVPN経由で運用していましたが、セキュリティリスクの高まりを受けてネットワークの見直しを行いました。
私たちはセキュリティの専門ではないので、 24時間体制の監視は難しいため、NTTに相談したところ、拠点間の通信には閉域網(IP-VPN)を、インターネット接続口には「おまかせサイバーみまもり」のクラウドエッジを導入することで、安全なネットワーク環境を構築しました。
加えて、不正アクセスの多い地域（アフリカ、中国、ロシアなど）からのアクセスを遮断する設定を行うとともに、URLフィルタリングを導入することで業務に不要なサイトへのアクセスを制御し、より安全で効率的なネットワーク運用を実現しています。
さらに、毎日、日次レポートを確認し、特異事項がないかをチェックすることで、継続的なセキュリティ監視と迅速な対応を可能にしています。

【通信環境の構成イメージ】

【NTTサイバー見守り資料】

出展：https://business.ntt-east.co.jp/service/cybermimamori/

ネットワークの見直し改善点

・閉域網（IP-VPN）により安定して通信速度を実現
・外部ドメイン制限によりマルウェア対策
・介護情報基盤を見据えた構成に

SKYSEA Client ViewによるICT資産の一元管理

Q2.ICT機器管理について、改善された点はありますか？

サーバー4台とクライアント70台以上を私ひとりで管理しており、以前は、1台ずつアップデートや状態確認のために拠点を回る必要がありました。そんな状態から、6年前にSKYSEA Client Viewを導入したことで、大きく業務の効率化を図れています。

SKYSEA Client View導入の効果

1.ソフトウェアのインストール制御過去には、職員が年賀状ソフトを持ち込み、勝手にインストールしてしまうケースがありました。また、最近では、電子行政推進の進展に伴い、職員が自らソフトをインストールできてしまうケースも見られました。SKYSEA導入後は、ソフトウェアのインストールを制限し、正規ソフトかどうかを私が確認した上で、一時的に開放・再ロックする運用に変更しました。これにより、職員の意図しないトラブルを未然に防ぎ、正規のライセンスを取得していないソフトウェアの使用を防止することで、ライセンス違反を防ぎ、知的財産権管理を強化することが可能になりました。 2.IT資産管理 USBデバイス管理に加え、ハードウェアの状態、ソフトウェアのバージョン管理、IPアドレス管理を含めた包括的な資産管理が可能となりました。具体的には、誰が・いつ・どのUSBデバイスを使用したのかのログが記録されることで、「これ誰も使ってないけど大丈夫？」と早期に気づくことができるようになり、未使用のUSBデバイスに対する適切な管理が可能となりました。さらに、ハードウェアの稼働状況を把握し、ソフトウェアのバージョン管理によって最新のセキュリティパッチ適用状況を確認し、脆弱性に対応できるようになりました。IPアドレス管理を強化することで、ネットワーク内の端末配置を可視化し、資産管理の透明性を高めています。これらの機能を統合的に活用することで、より安全で効率的なIT資産管理を実現しています。 3.アップデート制御 WindowsやほのぼのNEXTの大型アップデートについては、一時的に自動適用を停止しています。メーカーから正式な対応連絡が届いてから一括で反映することで、アップデートによるトラブルやサーバー停止の時間を最小限に抑えています。さらに、現在では「〇月〇日〇時からサーバの利用を停止してください」と画面上に一斉配信できるメッセージ配信機能も活用しており、大変便利です。 4.リモート操作リモート操作機能を活用し、遠隔地から端末の状況を把握し、迅速なトラブル対応やメンテナンスを行うことで業務の効率化に貢献しています。さらに、職員の問い合わせ対応においても、リモート画面を活用することで迅速に対応できるため、職員満足の向上にも寄与しています。

セキュリティ対策の本質は「職員を守ること」

Q3.セキュリティ対策について、どのような考えをお持ちですか？

当法人では、職員が気づかないうちに発生するリスクから守ることを最優先に考えています。情報セキュリティの強化は、単なる技術的な対策ではなく、職員の業務環境を安全に保ち、安心して業務に取り組める環境を提供することに直結します。
また、通信環境の遅延は業務効率の低下やストレスの要因となるため、安定したネットワーク環境を整備することが重要です。これにより、業務の円滑化だけでなく、セキュリティ対策の強化にもつながり、職員の満足度向上にも貢献します。
情報漏洩はあってはならないことですが、NTTによる監視を導入し、可能な限りの対策を講じていたことを示せる体制を整えることが重要と考えています。
利用者様の要配慮個人情報を預かる立場として、適切なセキュリティ対策を講じることは、社会的責任の一環であると考えています。

社会福祉法人清和会様が参考にしている
「中小企業の情報セキュリティガイドライン」とは？

「中小企業の情報セキュリティガイドライン」は、経済産業省と独立行政法人情報処理推進機構（IPA）が発行しているのもで、主に中小企業が最低限行うべき対策を体系的にまとめたものです！

出展：https://www.ipa.go.jp/security/guide/sme/about.html

サイバー攻撃や情報漏洩に対して、限られたリソースの中で実行可能な現実的対策を示しており、介護施設にとっても参考になる内容となっています！まずは「情報セキュリティ５か条」をチェック✔
１． OSやソフトウェアは常に最新の状態にしよう！
２．ウイルス対策ソフトを導入しよう！
３．パスワードを強化しよう！
４．共有設定を見直そう！
５．脅威や攻撃の手口を知ろう！さらに中小企業が直面しやすいランサムウェアや標的型攻撃、情報漏洩といったリスクに対応するには、以下のような技術的対策も推奨されます！

社会福祉法人　清和会様の対応例

・EDR（エンドポイント検知・対応）：NTT「おまかせサイバーみまもり」
・VPN（仮想プライベートネットワーク）閉域網（IP-VPN）による通信の暗号化と安全性確保
・アクセス管理の強化：SKYSEA Client Viewによる端末操作制御・ログ取得

システム担当がひとりで支えるICT基盤

Q4.システム担当になった経緯と、現在の体制について教えてください。

1997年の新卒入社時に「これからは情報化の時代」と前理事長に任せて頂いてから、システム全般を一人で担当しています。
介護情報基盤の導入も控えており、次の投資判断のために情報収集や制度動向の把握に努めています。法人内の全ての施設・事業所からの問い合わせ対応になる為、“図書館で参考となる本や資料を探して勉強する”なんてことも行っています。

今後の課題と期待・データ連携（API）を活用した労務・人事管理の一元化・ほのぼのNEXT間の連携
・介護情報基盤と既存システムの統合運用
・医療情報システムの安全管理に関するガイドライン(厚生労働省)への対応

このように、限られた人員でもできるICT・セキュリティ体制の整備と運用は今後ますます重要性を増していきます。

現場視点で築く、これからのセキュリティのスタンダード

ICT導入やセキュリティ対策は、専門的な知識が求められ、どこか難しそうな印象を持たれがちです。しかし、社会福祉法人清和会様のように「職員の働きやすさ」「安全な運用」「トラブルの防止」「少人数の担当でも運用できる環境整備」といった現場起点の視点で丁寧に一つ一つ整えていくことで、法人の全体の業務を支える安定運用につながっていきます。
特別な組織体制や大規模法人でなくとも、一つの改善が、長期的な安心と効率化を支えていく、そんな地道であるが非常に重要な実践のお話をお伺いできたインタビューとなりました。