シス１３章第⑤条
シＱ－38 「ルータ等のネットワーク機器について、安全性が確認できる機器
を利用すること。」とあるが、どのようなものが安全性が確認できる
機器として考えられるのか。
Ａ 安全性が確認できる機器としては、ISO/IEC 15408 で規定されるセキュ
リティターゲット又はそれに類するセキュリティ対策が規定された文書が本
ガイドラインに適合していることを確認できるものなどが挙げられますが、
この規格で認証された機器を導入することは必須ではありません。このガイ
ドラインが求める安全対策のための要求事項を、導入を検討している機器ベ
ンダに示して、回答を求めてください。満足する回答が得られれば、安全性が
確認された機器と判断していただいて結構です。
また、「ルータ等のネットワーク機器の機能をソフトウェアで実現している
もの」については、その当該ソフトウェアに対して安全性が確認できる必要が
あります。「ルータ等のネットワーク機器」を「当該ソフトウェア」に読み替
えてご対応ください。

シス１３章第⑥条
シＱ－39 セッション間の回り込み（正規のルートではないクローズドセッシ
ョンへのアクセス）とは、具体的にどのような事象を指すものか。
Ａ 例えば、下図のように、医療情報連携ネットワークの Web サーバへのアク
セス等のために、医療機関等の専用端末がソフトウェア型の IPsec や TLS1.2
以上によりオープンネットワークに接続している場合、攻撃者は開放された
当該端末のポートを標的として、何らかの攻撃（典型的には標的型メール攻撃
等）を試みることが想定されます。
この攻撃により、当該専用端末が遠隔操作型のマルウェア等に感染すると、
攻撃者は本人になりすまして医療情報連携ネットワークの Web サーバとのセ
ッションの立上げを試みることが可能になります。セッションの立上げに成功
すると、外観上は正規の権限によるアクセスが発生することになり、IPsec や
TLS1.2 以上により適切に暗号化していても、攻撃者は医療情報連携ネット
ワークの Web サーバにアクセスできるようになります。

95