しかし、昨今 TLS においてプロトコルやソフトウェアの脆弱性を突いた攻
撃の報告が相次いでおり、TLS を適切に利用しなければ接続に HTTPS を用
いても、必ずしも安全性を確保することができません。TLS を利用する上で
の適切な設定方法は、CRYPTREC が作成し独立行政法人情報処理推進機構
によって発行された「TLS 暗号設定ガイドライン」にて指針が示されている。
「TLS 暗号設定ガイドライン」にて示される設定をすることで、TLS への既
知の攻撃から、一定の安全性を確保することができます。なお現時点で最新の
「TLS 暗号設定ガイドライン 3.0.1 版」では 3 段階の設定基準が定められて
いるところ、医療情報システムで利用する場合は、そのうち最も安全性水準の
高い「高セキュリティ型」の設定を反映することで TLS への攻撃リスクを低
減する必要があります。「高セキュリティ型」の設定の一つとして、利用可能
なプロトコルバージョンを TLS1.3 に設定するものの、システムやサービス
等の対応上、これによることが難しい場合には、TLS1.2 以上に限定して設定
する必要があります。そのため、サーバ・クライアントともに TLS1.2 以上
をサポートしていることが必須となることに注意することが必要です
（TLS1.2、TLS1.3 のいずれかの利用に限定している場合には、それぞれの
プロトコルをサポートしていることが求められる）。加えて、オープンなネッ
トワークの場合、不特定の端末から接続されるリスクがあるため、対策の一つ
として TLS クライアント認証を行う必要があります。
さらに、オープンネットワークで接続する場合には、IPsec や TLS による
セッションが安全でも、他セッションが同居できるため、ネットワークに接続
している機器やシステムが標的型メール等の攻撃にさらされるリスクがある。
仮に、このような攻撃によってネットワークに接続する端末等に不正ソフトウ
ェアが混入し、遠隔操作が可能になると、IPsec や TLS1.2 以上によるセッ
ションへの正規のアクセスが発生する可能性があります。
IPsec や TLS による接続は、適切な経路設定を行うことで、セッション間
の回り込みを回避することが可能である。一般社団法人保健医療福祉情報安全
管理適合性評価協会（HISPRO）が公開している「レセプト・オンライン請求
用チェックシート項目集」（※）が参考になります。
※ 「レセプト・オンライン請求用チェックシート項目集」
https://hispro.or.jp/open/pdf/200909OnRece%20koumoku.pdf

92