シス１４章第③項
シＱ－52 FIDO 認証（※１）に関して、どのような留意事項があるか。

Ａ FIDO 認証を使用し、医療情報システムの利用者の識別・認証を行う場合に
は、求められる当人認証の頑強性として、
「Digital Identity Guidelines」
（NIST
SP800-63)で定められている AAL（Authentication Assurance Level）
の強度：Level２以上の技術を採用することが望ましいです（※２）。
例えば、FIDO―U2F（Universal 2nd Factor）は、2 要素認証による技術で
あるため、安全性が高く、AAL3 に位置付けられますが、２要素認証によら
ない場合には、AAL３を満たさないこともあります。
FIDO 認証のメリットとしては、既存のスマートフォンの機能などを活用す
ることが可能であるため、導入しやすいなどが挙げられます。他方で、デメリ
ットとしてはパスワード認証との併用、利用者の使用デバイスの登録などによ
る認証フローが複雑になりやすいなどがあります。
（※１）FIDO（Fast IDentity Online）認証とは、オンラインの認証サーバを
通じてパスワード不要で利用者を認証する仕組みです。具体的な利用方
法は、FIDO 認証対応のスマートフォンで利用者に対する使用デバイスの
登録を行い、本人認証を行うなどが挙げられます。なお、FIDO 認証では
生体認証機能を利用することでパスワードに代わる認証が行われること
が多いとされますが、生体認証に限らず他の方式の技術によることも可
能とされています。
（※２）
「企画管理編 １３．医療情報システムの利用者に関する認証等及び権限」
参照

シス１４章第①条
シＱ－5３

A

ネットワーク上からの不正アクセスを防止するためにどのような
対策が必要か。

外部のネットワークとの接続点や DB サーバ等の安全管理上の重要部分に
は、ファイアウォール（ステートフルインスペクションやそれと同等の機能を
含む。）を設置し、ACL（アクセス制御リスト）等を適切に設定してください。

106