クライアントについて
医療法人想定D(グループ名「DELTA CARE」)は、関東圏で 8 クリニックを運営する中規模医療法人グループです。常勤医・看護師・事務スタッフを含めて約 350 名が勤務し、オンライン診療・多拠点連携・電子カルテ番連携と、現代医療に求められるデジタル要件が急速に拡大しています。
導入前の課題
従来型の境界防御型セキュリティでは、現代の现場要件に追いつけませんでした。
- VPN 依存型アクセスのスケーラビリティ限界:拠点数・デバイス数の拡大により VPN 連接不安定・運用コストが急增
- 個人情報保護・監査要件の高度化:医療データ・カルテ情報へのアクセスログを領域ごとに取る需要が出たが、既存の仕組みでは追跡不足
- BYOD / SaaS 利用の「影システム化」:診療現場の効率化のため現場スタッフが脱 IT 部門の SaaS を導入し始めており、ガバナンスリスクが高まっていた
- インシデントレスポンスの遅さ:万一の事象時のスコープ特定・影響説明に平均 4 時間かかっていた

提供したソリューション
Google Workspace を軽に、BeyondCorp Enterprise を基本ポリシーとしたゼロトラストアーキテクチャへ移行しました。デバイス・アイデンティティ・コンテキストを検証してアクセスを許可するモデルで、領域・職能ごとの詳細権限テンプレートも作りこみました。
併せて、インシデント発生時の一次対応 SOP をプレイブック化し、同ジャンルの応対をただちに起動できる体制をともに整えました。
実装プロセス
合計 6 ヶ月で 8 クリニック全拠点のゼロトラスト移行を完了しました。
- Phase 1:現状のアクセスパターン棚卸し / データ分類と領域ポリシー設計
- Phase 2:BeyondCorp Enterprise のポリシー設計・適用 / デバイス・アイデンティティ・位置情報ポリシーの統合
- Phase 3:クリニック・社外重要拠点への段階導入 / 現場スタッフへの訓練
- Phase 4:個人情報取り扱いに関する運用ルールブック策定 / インシデントレスポンスプレイブック作成と訓練

成果と効果
- セキュリティインシデントのスコープ特定・影響説明タイムを平均 4 時間 → 20 分に短縮
- VPN 運用コストを年間 600 万円削減
- 個人情報保護監査も規定準拠でクリア、職能・領域ごとのアクセス記録が一元管理される形に
- 現場スタッフからの UX 評価も向上(「VPN 接続不要、PC を開けばすぐ使える」)
- BYOD / SaaS もポリシー上で許可される形となり、影システムリスクが大幅軽減
今後の展望
次フェーズとして、監査ログに対するAI アノマリ検知を導入予定。意図しないデータアクセス・不審なセッションパターンを LLM が検出し、現場とセキュリティチームにエスカレーションする仕組みを検討中です。