NTTライフサイエンスは、企業の定期検診や人間ドック向けに、遺伝子検査サービス「Genovision Dock(ゲノビジョン ドック)」を含む健康経営サポートサービス「Genovision(ゲノビジョン)」を提供している企業だ。遺伝子情報という非常に機微な情報を扱うため、システムの運用・保守においてセキュリティとプライバシーは最優先される。一方で、コロナ禍のような不測の事態にも事業を継続できるようにリモートでの保守も求められていた。同社は、この難しい課題をどうやって解決したのか。システム開発に携わった同社 ライフイノベーション部 システム統括部長 茂垣 武文氏に話を聞いた。
NTTライフサイエンス株式会社
URL:https://www.ntt-lifescience.co.jp/
設立:2019年7月1日
事業内容:健康経営支援サービス提供事業
-
NTTライフサイエンス ライフイノベーション部
システム統括部長 CISSP 健康経営アドバイザー
茂垣 武文氏
安心・安全な「遺伝子検査」を提供するための仕組みを模索
NTTライフサイエンスは、2019年7月にNTTの100%子会社として設立された会社である。2020年4月からは、企業の定期検診や人間ドックのオプションとして選択できる遺伝子検査サービス「Genovision Dock」を提供している。同社のライフイノベーション部 システム統括部長 茂垣 武文氏は、サービスの概要を次のように説明する。
「人間ドックなどで遺伝子検査を選択すると、2mLだけ追加で採血し、その血液を使って専門機関で遺伝子65万カ所のデータ化を行います。弊社では、そのデータを分析し、レポートを作成して受検者にお渡しするのが基本的なサービスの流れになります」(茂垣氏)
同社が作成するのは、疾患予防編と体質理解編の2種類のレポートだ。疾患予防編は、約80種類の病気についてその病気になる確率をまとめ、体質理解編は受検者の体質についてまとめたものだ。
「疾患予防編では、『特定の病気にかかる確率が日本人平均と比べて2倍あるので、あなたにはこのような予防行動がおすすめです』などのアドバイスを示します。体質理解編は、『あなたは葉酸を摂取しても、体内で利用できる形に変換する酵素の活性が40%低いので、積極的に葉酸を摂取してくださいね』といった体質と食生活のアドバイスなどをまとめたものです。中には、結果を見て不安を覚える方もいますので、オンラインでカウンセリングを受けられるサービスも提供しています」(茂垣氏)
言うまでもなく、個人の遺伝子情報や健康診断の情報などを扱う同社にとって、セキュリティとプライバシーの確保は事業継続の大前提だ。したがって、システムの開発においては、設計・開発段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」の考え方が貫かれている。
それは、システムの運用・保守でも変わらない。サービスを安定的に運用するには、同社の担当者や外部パートナーのエンジニアがリモートでアクセスし、トラブル対応や保守作業を安全に実行する仕組みが欠かせない。その仕組みを構築する際も、「セキュリティ・バイ・デザイン」の考え方に基づいてセキュリティアーキテクチャを検討し、運用方法を設計することが求められたのである。
外部からの攻撃と内部犯行を防ぐために選択した“3つの製品”
Genovisionのシステムは、NTTグループのクラウドを活用して開発されている。このため、システムの運用・保守は当初からリモートが前提だった。そこで重要になるのが、外部からの攻撃への対策と内部犯行の防止だ。いくつかの製品を比較・検討した結果、多層防御を実現する仕組みの一部として同社が最終的に選択したのが、NTTテクノクロスの「マジックコネクト」「iDoperation(アイディーオペレーション)」「iDoperation SC(アイディーオペレーション・セキュリティカメラ)」の3製品だった。
「マジックコネクト」は、USBキーを認証キーとして利用して、手元のPCからオフィスのPCやサーバへのリモートアクセスを実現するサービスだ。すでにリリースから15年が経過し、導入企業数は10,000社以上の実績を誇る。
「マジックコネクトはUSBキーで認証を行うため、パスワードリスト型攻撃※1を受ける心配がなく、外部からの攻撃に強いことを評価しました。また、VPNと比較して圧倒的に低コスト、かつ、シンクライアントのようにサーバとローカルPC間でファイルのやり取りを許可/禁止できること、そして実績が豊富で信頼できることを評価して選択しました」(茂垣氏)
-
マジックコネクトはUSBキーで認証を行うため、外部から攻撃されるリスクが低い
「iDoperation」は、特権ID管理のソリューションだ。すべての権限を持つ特権IDを厳格に管理することは、内部犯行や標的型攻撃の対策の基本として極めて重要だが、iDoperationはその管理を支援するソリューションである。
そして「iDoperation SC」は、システムにログインした後の画面操作を録画するソリューションとなる。特権IDでログインしたユーザーの行動は、すべてiDoperation SCで録画されるため、内部犯行の抑止力になるとともに、万一インシデントが発生した際に、疑いがもたれた操作者が不正をしていないことを証明し、守ることにもつながる。
「iDoperationについては、特権ID管理分野でシェアトップである実績と安定性を評価しました。iDoperation SCについては、当初は別の製品を検討していましたが、出荷本数ベースではシェアトップであり、NTT研究所のノウハウを利用して製品化しているため、動画記録方式のライセンス料が安く、コストを抑制できる点を評価して選択しました」(茂垣氏)
※1:第三者が何らかの方法によってID・パスワードをあらかじめ入手し、そのIDとパスワードを利用して別のサイトなどで不正ログインを行う攻撃手法。一般に、同じIDとパスワードを複数のサイトで使い回す人が多いため、攻撃の成功率が高くなってしまうことが課題になっている。
「自宅から」でも安全にシステムを運用・保守する仕組み
運用・保守のためにシステムへアクセスをするのは、主に社内のシステム管理者と委託先の保守ベンダだ。このメンバーが、個別に配布されたUSBキーをオフィスや自宅のPCに挿して接続処理を行うと、マジックコネクトの中継サーバを経由して、クラウドにある踏み台サーバにつながって、リモートデスクトップ接続が確立される。
そこからは、踏み台サーバのWebブラウザを使って、同じクラウド上にあるiDoperationとiDoperation SCのサーバにアクセスする流れとなる。
たとえば、保守ベンダの利用者が作業するときは、マジックコネクトで接続したあと、iDoperationのコンソールから特権IDを申請する。iDoperationの管理者が承認すると特権IDが払い出され、利用者はそのIDで管理対象のシステムにログインして作業を行う。そしてその間は、すべての作業がiDoperation SCによって録画される仕組みだ。実際の運用イメージについて、茂垣氏は次のように補足する。
「たとえば、保守ベンダの利用者が作業するときは、『明日、18~21時まで、〇〇の作業をしたいので、サーバAを使わせてください』といった申請をします。その内容を管理者が確認・承認し、iDoperationで特権IDを払い出します。利用者は、作業が終わったらログオフして作業報告を管理者に送ります。管理者は、その報告を確認したうえで、 iDoperation SCの録画データを閲覧して、不正が行われていないか操作点検をする、といった運用イメージになります」(茂垣氏)
なお、マジックコネクトには、ローカルのファイルをサーバにアップロードしたり、サーバのファイルをダウンロードしたりすることを制御する機能が用意されている。この機能は原則禁止設定にされているが、作業によっては許可する必要がある。
「利用者は、オフィスからでも自宅からでもシステムにアクセスすることはできます。ただし、ダウンロードを許可モードに変更する場合、持ち出したファイルは各種サーバのセキュリティ対策やiDoperation SCの監視から外れてしまうため、たとえば、所定のゴールドゾーンのPCからのアクセスに制限するなど考慮が必要です。また、許可した場合は、より慎重に録画データの操作点検をする必要があります」(茂垣氏)
「在宅リモート保守」がかなえる事業継続性と効率化
Genovisionのサービスがスタートしたのは、2020年4月。そのシステム開発・運用・保守において「コロナ禍の影響はそれほど大きくはありませんでした」と茂垣氏は語るが、残念ながら、新型コロナウイルスの影響で人間ドックそのものが一時期停止してしまい、第一四半期の受検者数は伸び悩んでしまった。ただ、新型コロナウイルスが収束に向かうのに伴い、人間ドックを再開する企業が増えつつあり、現時点では当初の想定を上回る受検者が利用しているという。
「現在はまだGenovision Dockを利用いただける病院は限られていますが、来年度は全国の病院に拡大していく予定です。また、10月からはスマートフォンの健康アプリを活用して食生活などの生活習慣の改善をサポートする新しいサービス機能もリリー スします※2」(茂垣氏)
提供するサービスが増え、サービスを利用する企業が増えれば、それだけシステムの運用・保守の重要性も高くなる。それを支える「マジックコネクト」「iDoperation」「iDoperation SC」の役割・価値について、茂垣氏は次のように説明する。
「大きく2つの価値があります。1つは『事業継続性の確保』です。新型コロナウイルスの影響はまだ続きそうです。今後、第3波、第4波がきて、外出が全面禁止になる可能性もゼロではありません。そういう状況でも、在宅である程度の保守ができることは、事業継続上、非常に大切です。もう1つは『仕事のスピードアップ』です。私自身、在宅で仕事をすることが多いので、出社しなくても一定の作業ができることは、とても助かっています」(茂垣氏)
遺伝子検査は、まだ日本では一般的ではない。しかし、たとえばアップルが従業員に遺伝子検査サービスを無料で提供するなど、海外の先進的な企業ではリアクティブ(症状が出てからの治療)からプロアクティブ(症状が出る前からの予防措置)へのシフトが始まっている。
このトレンドは、日本にも間違いなく訪れるだろう。NTTライフサイエンスのGenovisionは、それをけん引するサービスだ。そのサービスを支える「マジックコネクト」「iDoperation」「iDoperation SC」の役割は、今後、ますます重要になるといえるだろう。
※2:インタビュー時点。2020年10月1日より、一人ひとりに最適化された生活習慣改善支援サービス(認知バイアスに基づくレコメンド提供機能、「生活習慣マイプラン」機能)の提供を開始している。
NTT テクノクロス株式会社
エンタープライズ事業部 iDoperation担当
■E-mail
iDoperation.info-ml@ntt-tx.co.jp
■製品URL
https://www.ntt-tx.co.jp/products/idoperation/
https://www.ntt-tx.co.jp/products/idoperationsc/
■PDF資料
ベンダーによるリモート特権アクセスを、iDoperationを使ってセキュアに実現する方法
本資料に記載されている会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
[PR]提供:NTTテクノクロス