- 課題:HIPAAコンプライアンスを準拠するために、ミードヴィル医療センターは、同時ユーザーセッションを防止し、どのユーザーがどのような操作を行ったかを正確に記録できることを実証する必要がありました。
- 解決策:ミードヴィル医療センターは、ユーザーの本人確認強化と既存の多要素認証ソリューション(Okta)の強化、デバイスの同時ログイン制御、多要素認証によるHIPAAコンプライアンス要件への対応を目的として、UserLockの導入を選択しました。
- 効果:UserLockの二要素認証機能により、ミードヴィル医療センターでは、オンサイトとオフサイトの両方でユーザーの本人確認を徹底できるようになり、2,500人の従業員に対して、より効果的なアクセスコントロールを提供することができました。
アメリカ、ペンシルベニア州に拠点を置くミードヴィル医療センターのような医療機関では、機密性の高い医療データの保護は最重要課題となっています。HIPAA法(アメリカの医療保険の相互運用性と責任に関する法律)の規制により、医療機関は患者の医療情報にアクセスできる人を細かく追跡する必要がありますが、適切なツールがなければ、詳細なアクセスログとセッションデータを維持することは困難です。ミードヴィル医療センターは、2,500人のユーザーの本人確認と利用状況をより効果的に把握する新しい方法を必要としており、UserLockの機能に注目しました。
【課題】同時ログインによるコンプライアンスへの懸念
ミードヴィル医療センターでは、毎日何百人もの患者を診察しなければならないため、効率的に業務を行っています。医師や看護師は、患者との面談の際、複数のワークステーションを使い、メモを取ったり、検査を依頼したり、処方箋を書いたりします。しかし、新規の患者を診察するたびワークステーションへログインしなければならないのは、医療従事者にとってはイライラしたり、時間がかかったりするものです。
多くの医療従事者は、効率化のために、1つの認証情報で複数のPCにログインしています。医師や看護師にとっては実用的な方法かもしれませんが、このような同時ログインは大きなセキュリティリスクとなり、HIPAA法の規制に違反することになります。一人のユーザーが複数のPCにログインすると、誰がどの患者のデータにアクセスしたかを追跡することができなくなり、組織のすべてのデータが不正に暴露される危険性があります。
ミードヴィル医療センターがそれまで使用していたアクセス管理ソリューション「Okta」では、同時ログインを防止するために必要な機能が提供されていませんでした。そこで、ミードヴィル医療センターのチームは、UserLockを見つけ出し、体験版の無料トライアルを行ったのです。
【解決策】リスクを軽減しながら迅速なワークフローを実現する、使いやすい二要素認証ソリューション
ミードヴィル医療センターのチームは、彼らが必要としていた許可されていない同時ログインの制御がUserLockで実現できることはすぐわかりましたが、彼らの期待以上の機能を搭載していることも発見しました。ミードヴィル医療センターでは、従業員のワークフローを妨げることなく、アクセスセキュリティをさらに強化できる多要素認証ソリューションを求めていました。
チームは多要素認証の活用を望んでいましたが、あまりに頻繁に本人確認を求められると、医師や看護師の迅速なワークフローの妨げになります。UserLockの二要素認証ソリューションは、認証を要求する頻度を管理者が設定できるため、ワークフローにも適しています。必要なときだけ簡単な多要素認証で本人確認を行い、1日中定期的にログインできるようにすることで、重要なワークフローを停滞させることなく、Active Directoryのユーザーアクセスを保護し、正確なアクセスログを維持できるようになりました。
現場でPCの前にいたからといって、その人が正規のユーザー、管理者であるかどうかを信用することはできません。
UserLockを使えば、誰が私たちのPCを使用しているのかを正確に確認することができるようになりましたMark Shorts (ミードヴィル医療センター テクニカルサポートリーダー)
しかし、ミードヴィル医療センターの従業員は病院外でPCを使用することもあるため、チームはオフサイトのユーザーに対しても堅牢な認証制御を必要としていました。「UserLock Anywhere」を使用することで、ミードヴィル医療センターは、ユーザーがVPNを使用していない場合やインターネットにまったく接続していない場合でも、ネットワークドメイン外やオフラインデバイスのすべてのユーザー接続で二要素認証が起動され、リモートでのエンドポイントを保護できます。
また、米国外で行われたログイン試行に対して自動的に二要素認証が起動されるため、ジオロケーション制限を統合できることもミードヴィル医療センターのチームにとって有益でした。ミードヴィル医療センターの従業員の日常業務はすべて米国内で行われるため、米国外からの接続は即座に疑わしいアクセスとなるからです。
より強力な認証機能により、オンプレミスのActive Directoryへの不正アクセスを防止し、PCなどの紛失や盗難があってもデータを保護することができるようになりました。さらに、ユーザーセッションや使用ログを把握することで、ミードヴィル医療センターはHIPAAコンプライアンスを実証し、セキュリティ脅威を迅速に検出できるようになりました。UserLockは、誰かがノートPCを紛失したときに非常に有益です。
従業員がPCを紛失し、誰かがその認証情報でログインしようとしても、多要素認証プロンプトが表示されるため、アクセスすることはできませんMark Shorts (ミードヴィル医療センター テクニカルサポートリーダー)
【効果】2,500人の従業員のために、オンサイトとオフサイトの両方で強力な二要素認証アクセス制御
簡単なセットアップで導入が完了し、ミードヴィル医療センターはActive Directoryにリンクされた2,000人のユーザーIDを検証するためにUserLockを使い始めました。その2ヵ月後、さらに500人分のIDを追加しました。
UserLockのわかりやすいセットアップは最高でした。
またオフサイトMFA用のプロキシの設定では素晴らしい技術サポートを提供してくれましたMark Shorts (ミードヴィル医療センター テクニカルサポートリーダー)
Shorts氏はUserLockのおかげで、同時ログインの防止、ユーザー認証、組織全体のアクセス管理が簡単にできるようになったことを高く評価しています。ミードヴィル医療センターのチームは、誰がどのPCを使用しているのか、どこでログインしてもすぐに把握できるようになり、患者の機密医療データを不正アクセスから確実に保護することができます。
UserLockは、ミードヴィル医療センターのサイバーセキュリティを強化するだけでなく、コンプライアンスのリスクも軽減しています。同時ログインを制限し、使用方法をより正確に定義できることを証明することで、ミードヴィル医療センターは許可されたユーザーだけが機密データにアクセスできることを証明し、HIPAA法の規制の準拠と、アクセス侵害のリスクを抑制することができます。
UserLockは、ユーザーエクスペリエンスや効率を損なうことなく、ログインを確実に保護するため、ミードヴィル医療センターのような病院にとって最適な選択肢となります。
ミードヴィル医療センター
テクニカルサポートリーダー