大阪府

新型コロナウイルス感染症対策で、政府が陽性者の全数把握を見直す方針を示したことを受けて、大阪府は府民自身が陽性者 登録を行うことができるシステムを構築し運用を開始した。陽性者登録には本人確認書類や検査結果の画像ファイルのアップ ロードが必要だ。この際、アップロードされる画像に起因するサイバー攻撃のリスクを防ぐため、マルウェア対策の強化は不可避 だった。そこで大阪府は、これまで利用していた、Salesforceを活用したシステム上で従来のエンドポイント保護製品では対応で きない Salesforce 環境上のコンテンツのスキャンを短期間で導入できることが決め手となり、ウィズセキュアの「WithSecure™ Cloud Protection for Salesforce」を採用。セキュリティを担保した陽性者登録システムの稼働を実現した。

公共システムにアップロードされる 画像に潜むマルウェア対策が急務

新型コロナウイルス感染症に対して、常に先駆的に対策を重ね ている大阪府。感染拡大や医療提供体制のひっ迫状況を示す指 標である「大阪モデル」など独自の施策に加え、ICTを効果的に 活用しながら対策に取り組んでいる。

その一例が「大阪府療養者情報システム（Osaka-Covid19- Information-System）」（以下、O-CIS）だ。新型コロナウイル ス患者の療養先となる宿泊や入院調整などを行うため、保健所 や宿泊療養施設をはじめとする関係者と、申請内容や患者情報 などの共有を図るシステムである。

従来は表計算ソフトとメール、電話・FAXで情報を共有していたが、O-CISの導入によって、情報の一元化とリアルタイムで情報 の共有ができるようになるとともに、事務処理の簡素化も実現し た。O-CISの導入前は、陽性者の宿泊の手続きには最短でも2日 要していたが、導入後は最短でその日のうちに手続きが完了する ようになった。 また、 各医療機関において、リアルタイムで病床稼 働状況を把握できるようになり、データの見える化にも大きく貢 献している。 このシステムのプラットフ ォームとして、大阪府が採 用しているのがSalesforceだ。

一方、2022年9月12日、 政府の発生届の全数把握見直し表明を受 け、大阪府はO-CIS上に新たに「大阪府陽性者登録センター」を 開設し、陽性者が直接登録する こ とができるシステムを構築した。 陽性者は登録の際、 運転免許証などの本人確認書類と検査結果 資料の画像をアッ プロー ドする必要がある。そのため、 ポイ ン トと なったのは、アッ プロードされる画像に起因するサイ バー攻撃のリスクを軽減する機能の追加による安全性の確保だった。

大阪府 健康医療部 保健医療室感染症対策支援課 総括主査 寺岡 新司 氏は「府民の皆様を装って、 マルウェアが仕込まれた 画像がアップロードされた場合、O-CISが甚大な被害を受けて しまいます。 また、 これまでO-CIS上での画像アップロードは、 医療機関の中で限られたメンバーに対して活用されていました が、陽性者本人に登録していただく 場合は、 マルウェア対策によ るさらなるセキュ リティ確保は必須でした。そして、なるべ く 早い 時期から陽性者登録を行えるよう、短い期間で導入できること も優先度の高い要件として求められていま した」と振り返る。

短期間でCPSFによる マルウェア対策を実装した 陽性者登録システムを開設

こ うした要件を踏まえ、大阪府が導入支援企業の提案を受けな がら採用に至ったのが、ウィ ズセキュアの「WithSecure™ Cloud Protection for Salesforce」（以下、CPSF）だ。Salesforce環 境にアッ プロー ドされる悪意のあるファイルやURLを使ったサイ バー攻撃から、 利用企業やユーザーを保護するクラウ ド型セキュ リティソリ ュ ーションである。CPSFは、Salesforce社と共同で設 計・ 開発されており、Salesforce環境とのシームレ スな統合と信 頼性を確保している。SalesforceとのCloud-to-Cloudでのネイ ティ ブな統合によって、 ミド ルウ ェアを必要とせず簡単に導入でき る。CPSFは、Salesforce環境のネイティ ブセキュ リティ機能を補 完するために設計されており、 ユーザーが感じる遅延を最小限に 抑え、Salesforce本来の使い勝手を維持できるように設計され ている。

寺岡氏はCPSFの採用理由を「アッ プロー ドされた画像に起因し たサイ バーリスクを軽減することは重要な要件でした。それに加 えて、限られた時間の中で、短期間で確実にシステムを開設する ことが絶対条件でした。その点、CPSFは私たちの要望に最適な ソリ ュ ーションでした」と話す。

O-CISの改修が完了し、大阪府陽性者登録センターでの登録を 開始し、 運用がスタートしたのは9月30日で、短期間での導入・ 稼働を実現した。CPSF自体は通常、 数分間でSalesforceに導入 できるため、 確認も含めて1日で検収が完了したという。

また、 運用の容易さも高く評価されている。陽性登録の際、府民 がアップロードするすべての画像ファイルは、自動的にスキャン されてマルウェアの検知が行われる。O-CIS担当の府職員も、 特 別なト レーニングなどは一切不要であり、 仮に有害と評価された 画像は、自動的に削除またはブロックされるため、 運用管理負荷 は低い。

「府民も府職員もCPSFを意識せずに使えて、セキュ リティを担保 できる点を高く 評価しています。大きなト ラブルもなく運用できて おり、2023年1月末の時点で約48万人の陽性者登録を終えてい ます」（寺岡氏）

今後も府民による画像アップロードの仕組みのもとで、CPSFを 用いたマルウェア対策を継続していく。加えて、 画像アッ プロー ド に関するさ らなる機能追加をCPSFに期待しているという。

「画像にマルウェアは含まれていないものの、本人確認書類や検 査結果資料とは無関係な画像がアッ プロードされる可能性があ り ます。そのような画像を削除するため、現在は目視で中身を確認していますが、 画像認識AIによって自動で検出・ 削除する仕組 みがCPSFで実装されると、O-CIS以外でも活用の場面が増えそ うだと考えています」（寺岡氏）

O-CIS全体についても、 必要な機能追加などの改修を迅速に実 施し、新型コロナウイルスから府民を守るための体制を強化して いく。そしてさ らに、 DX（デジタルト ランスフ ォーメーション）を推 進しながらO-CISのさ らなる有効活用を図っていく つもりだ。