よむ、つかう、まなぶ。
【参考2】「医療情報システムの安全管理に関するガイドライン 第6.0 版」 に関するQ&A (案) (85 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251919 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
インターネット
攻撃者
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
図
セッション間の回り込み(イメージ)
シス13章第⑥条
シQ-40 「13.ネットワークに関する安全管理措置 」⑥に「 SSL-VPN は利用
する具体的な方法によっては偽サーバへの対策が不十分なものが含まれる
ため、使用する場合には適切な手法の選択及び必要な対策を行うこと」とあ
るが、具体的にはどのように利用するのか。
A
安全管理ガイドラインでは、偽サーバへの対策が不十分なものが多いため、医療情報
システムでは原則として使用するべきではないとしています。しかし SSL-VPN につい
てもクライアント型と呼ばれるものについては、
「専用のクライアントソフトがインスト
ールされた端末との間でのみアクセスする。つまり、誤って偽サーバに接続することが
なく、また内部サーバにアクセスできる端末も厳格に制限できるため、端末に IPsecVPN ソフトをインストールして構成するモバイル型の IPsec-VPN に近い形での運
用形態」が可能とされています(「TLS 暗号設定ガイドライン 3.01 版」IPA)。
従って、SSL-VPN を利用する場合には、13.ネットワークに関する安全管理措置
⑥に記載されているクライアント証明書を利用した TLS クライアント認証や「高セキ
ュリティ型」に準じた適切な設定を行った上で例外的にクライアント型の SSL-VPN な
どの利用によることが考えられます。
84
攻撃者
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
図
セッション間の回り込み(イメージ)
シス13章第⑥条
シQ-40 「13.ネットワークに関する安全管理措置 」⑥に「 SSL-VPN は利用
する具体的な方法によっては偽サーバへの対策が不十分なものが含まれる
ため、使用する場合には適切な手法の選択及び必要な対策を行うこと」とあ
るが、具体的にはどのように利用するのか。
A
安全管理ガイドラインでは、偽サーバへの対策が不十分なものが多いため、医療情報
システムでは原則として使用するべきではないとしています。しかし SSL-VPN につい
てもクライアント型と呼ばれるものについては、
「専用のクライアントソフトがインスト
ールされた端末との間でのみアクセスする。つまり、誤って偽サーバに接続することが
なく、また内部サーバにアクセスできる端末も厳格に制限できるため、端末に IPsecVPN ソフトをインストールして構成するモバイル型の IPsec-VPN に近い形での運
用形態」が可能とされています(「TLS 暗号設定ガイドライン 3.01 版」IPA)。
従って、SSL-VPN を利用する場合には、13.ネットワークに関する安全管理措置
⑥に記載されているクライアント証明書を利用した TLS クライアント認証や「高セキ
ュリティ型」に準じた適切な設定を行った上で例外的にクライアント型の SSL-VPN な
どの利用によることが考えられます。
84