よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第6.0版Q&A(案) (86 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
インターネット
攻撃者
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
図
セッション間の回り込み(イメージ)
シス13章第⑥条
シQ-40 「13.ネットワークに関する安全管理措置 」⑥に「 SSL-VPN は利用
する具体的な方法によっては偽サーバへの対策が不十分なものが含まれる
ため、使用する場合には適切な手法の選択及び必要な対策を行うこと」とあ
るが、具体的にはどのように利用するのか。
A
安全管理ガイドラインでは、偽サーバへの対策が不十分なものが多いため、医療情報
システムでは原則として使用するべきではないとしています。しかし SSL-VPN につい
てもクライアント型と呼ばれるものについては、
「専用のクライアントソフトがインスト
ールされた端末との間でのみアクセスする。つまり、誤って偽サーバに接続することが
なく、また内部サーバにアクセスできる端末も厳格に制限できるため、端末に IPsecVPN ソフトをインストールして構成するモバイル型の IPsec-VPN に近い形での運
用形態」が可能とされています(「TLS 暗号設定ガイドライン 3.01 版」IPA)。
従って、SSL-VPN を利用する場合には、13.ネットワークに関する安全管理措置
⑥に記載されているクライアント証明書を利用した TLS クライアント認証や「高セキ
ュリティ型」に準じた適切な設定を行った上で例外的にクライアント型の SSL-VPN な
どの利用によることが考えられます。
85
攻撃者
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
図
セッション間の回り込み(イメージ)
シス13章第⑥条
シQ-40 「13.ネットワークに関する安全管理措置 」⑥に「 SSL-VPN は利用
する具体的な方法によっては偽サーバへの対策が不十分なものが含まれる
ため、使用する場合には適切な手法の選択及び必要な対策を行うこと」とあ
るが、具体的にはどのように利用するのか。
A
安全管理ガイドラインでは、偽サーバへの対策が不十分なものが多いため、医療情報
システムでは原則として使用するべきではないとしています。しかし SSL-VPN につい
てもクライアント型と呼ばれるものについては、
「専用のクライアントソフトがインスト
ールされた端末との間でのみアクセスする。つまり、誤って偽サーバに接続することが
なく、また内部サーバにアクセスできる端末も厳格に制限できるため、端末に IPsecVPN ソフトをインストールして構成するモバイル型の IPsec-VPN に近い形での運
用形態」が可能とされています(「TLS 暗号設定ガイドライン 3.01 版」IPA)。
従って、SSL-VPN を利用する場合には、13.ネットワークに関する安全管理措置
⑥に記載されているクライアント証明書を利用した TLS クライアント認証や「高セキ
ュリティ型」に準じた適切な設定を行った上で例外的にクライアント型の SSL-VPN な
どの利用によることが考えられます。
85