医療 SaaS WAF導入事例｜株式会社マトリクス様

導入事例

医療 ・介護向け SaaS を提供する株式会社マトリクス様に、WAF 導入 の背景と効果を伺いました。クラウド移行に伴うセキュリティ課題をRay-SOC WAFでどのように解決されたのか、その経緯をご紹介します。

医療SaaSが預かる「極めて重要なデータ」。
クラウドWAFの「運用の壁」が、専門サービス導入を決断させた

ーーWAFの導入を検討されたきっかけは何でしたか？

施設ごとに個別のサーバーを立てていた方式から、AWS上のマルチテナント方式に移行したのが大きなきっかけです。URLが一本化され、多くのお客様が一つのFQDNに集約される中で、水際対策の強化が急務になりました。

勤務データというのは、日々のシフト、勤務時間数実績データなど、極めて重要な情報です。もし漏洩や改ざんが起きれば、お客様の施設運営に直結する問題になります。お客様からお預かりしているデータの重要性を考えると、「自社だけの対応では限界がある」と判断しました。

ーー導入前に抱えていた課題や不安を具体的に教えてください。

仕組みを入れるだけなら、AWSのWAFでもできるんです。ただ、問題はその後の監視・運用です。正直なところ、手が足りないんですよね。営業やサービス開発にリソースを集中させたい中で、セキュリティの運用にまで手が回らない。AWSで何かを作って放置していると、サブスクリプション課金でいつの間にかコストが膨らんでいるということもあります。かといって人を動かそうとすると、今のご時世すごく高いです。自社で全部やるのは現実的ではありませんでした。医療 分野の SaaS として重要データを預かる以上、専門的な WAF 導入 は避けて通れない課題でした。

SOC付きオールインワン、リーズナブルな価格、そして信頼できる担当者。
三拍子揃っていました

ーー数あるWAFサービスの中で、Ray-SOC WAFを選ばれた決め手は何でしたか？

まず、運用まで含めた「オールインワン」であることですね。WAFの導入だけでなく、SOCによる監視・運用までセットになっている点が非常にありがたかったです。SOCだけを切り出して別途契約すると高額になりがちですが、

Ray-SOC WAFはSOC込みでリーズナブルな価格設定でした。

それから、やはりレイ・イージスさんとの信頼関係は大きかったですね。実績もお聞きしていましたし、疑う余地はありませんでした。トライアル期間があって、実際のアクセス状況を測定した上で本番に入れるという流れも、感覚の

妥当性を確認できて安心でした。医療 SaaS 事業者として WAF 導入 先を比較検討した中で、総合力が最も高い選択肢でした。

ーー実際に導入してみて、事前に期待していた効果は得られましたか？

期待以上でした。プッシュ型で月次レポートが送られてくるのが非常に重宝しています。何もしなくても「何か変なアクセスがありますが大丈夫ですか」と知らせてもらえるので、こちらから確認しに行く必要がありません。座って待っているだけでセキュリティの状況が把握でき、「見える化」が一気に進みました。

防御が機能している証拠。
AI×専門家の監視体制が、クラウドサービスの信頼を守ります

ーー検知が過敏に反応してしまうケースはありましたか？

1回ありました。帳票を出力した際に検知されたことがあります。ただ、それは防御がきちんと機能している証拠ですし、頻繁に起こるわけでもなかったので、「ちゃんと見てくれているんだな」という安心感につながりました。今のところ全く問題にはなっていません。

ーー導入時のサポートはいかがでしたか？

御社の担当者さんに非常に丁寧に対応していただきました。感謝しかないですね。専門用語で困ったということもありませんし、むしろそういった知識はある程度知っておいた方がこちらのためにもなるので、ありがたく勉強させていただいている感じです。

「専門の業者に24時間監視してもらっている」
説明できることが、医療機関への大きな安心材料に。
WAF導入が、セキュリティの"見える化"を実現した

ーーWAFの導入によって、社内や対外的な変化はありましたか？

やはり説明材料として大きいですね。医療機関などのお客様から「セキュリティはどう対応されていますか？」「サーバーはどこにありますか？」と聞かれる機会が増えています。そうした場面で、「専門の業者さんに24時間監視までしてもらっています」と言えるのは大きいですね。最近は必ず聞かれますから。

また、オンプレが主流の医療機関においてはクラウド稼働時のセキュリティを気にされることが多いのですが、強力な対策としてご提示できるようになりました。これも実務的に助かっている点です。同じ医療SaaS分野でWAF導入を検討されている方の参考になれば嬉しいですね。

WAFは「最初の一手」。
クラウド時代のセキュリティはインフラになっていく

ーー今後のセキュリティに関する展望を教えてください。

国が2030年までに電子カルテの100％化を目標に掲げていて、クラウドへの移行が加速していく流れがあります。オンプレミスをずっと続けましょうという選択肢はもうなくて、クラウドに寄せていく方向です。そうなったとき、WAFは絶対に必要なインフラになるだろうと感じています。

弊社としても、セキュリティをクラウド時代のインフラとして事業に組み込んでいく必要があると考えています。ISMS認証の取得も今年中を予定しており、Ray-SOC WAFの導入はその足がかりになったと感じています。

ーーレイ・イージス・ジャパンへの今後のご要望はありますか？

今はWAFによる水際対策をしていただいていますが、その先にも期待しています。たとえば、マルチテナントのSaaS環境に特化したセキュリティパッケージがあると嬉しいですね。AWS内のプライベートネットワークに侵入された場合の挙動をモニタリングできるダッシュボードの提供や、ウイルス感染時の対策など、オールインワン・ワンストップで提供していただけると非常にありがたいです。

アプリ開発が手軽になって、作ったものをすぐクラウドにあげて使うという時代ですから、「3省2ガイドライン準拠に近づける」というようなパッケージがあれば、本当に助かります。

ーー本日は貴重なお話をお聞かせいただき、ありがとうございました。