よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)Q&A (94 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
出典情報 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

インターネット

攻撃者

医療情報連携ネット
ワーク運営事業者

攻撃用サーバ

Web サーバ





医療機関等

IPsec や TLS1.2 以上に
より保護されたセッショ


医療情報連携
ネットワーク
接続用端末 ②



セッション間の回り込み(イメージ)

シス13章第⑥条
シQ-40 「13.ネットワークに関する安全管理措置 」⑥に「 SSL-VPN は利用する
具体的な方法によっては偽サーバへの対策が不十分なものが含まれるため、使用する場
合には適切な手法の選択及び必要な対策を行うこと」とあるが、具体的にはどのように
利用するのか。


安全管理ガイドラインでは、偽サーバへの対策が不十分なものが多いため、医療情報
システムでは原則として使用するべきではないとしています。しかし SSL-VPN につい
てもクライアント型と呼ばれるものについては、
「専用のクライアントソフトがインスト
ールされた端末との間でのみアクセスする。つまり、誤って偽サーバに接続することが
なく、また内部サーバにアクセスできる端末も厳格に制限できるため、端末に IPsecVPN ソフトをインストールして構成するモバイル型の IPsec-VPN に近い形での運
用形態」が可能とされています(「TLS 暗号設定ガイドライン 3.01 版」IPA)。
従って、SSL-VPN を利用する場合には、13.ネットワークに関する安全管理措置
⑥に記載されているクライアント証明書を利用した TLS クライアント認証や「高セキ
ュリティ型」に準じた適切な設定を行った上で例外的にクライアント型の SSL-VPN な
どの利用によることが考えられます。

93