よむ、つかう、まなぶ。
【参考資料2】「医療情報システムの安全管理に関するガイドライン第5.2版【案】」に関するQ&A (21 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【セッション間の回り込み
インターネット
攻撃者
イメージ図】
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
Q-36
「従業者による外部からのアクセスに関する考え方」に、「仮想デ
スクトップを導入した際の運用等の要件にも相当な厳しさが要求され
る」とあるが、どの程度か。
A
従業者による外部からのアクセスで問題になることは、利用するPCや通
信経路等の状態、及び周囲から盗み見されるおそれがある等、従業者の作業
環境が管理できないことです。例えば、PCにキーボードロガーのような不
正ソフトウェアがインストールされているリスクや、空港や喫茶店等でアク
セスすれば周囲の人に覗かれるリスクがあります。
仮想デスクトップは、不正ソフトウェアの作用を避け、PC上に情報が残
留することを防ぐ目的で使用されます。また、通信経路の安全性を確保する
ため、VPNの成立と連動して稼働することが望まれます。運用としては、
周囲の環境に十分注意して盗み見を防止するとともに、過去のログイン時間
の確認を確実に行うこと等を通じて、不正アクセスの検出に努める必要があ
ります。
Q-37
6.11 章の C.10 に「 SSL-VPN は利用する具体的な方法によっ
ては偽サーバへの対策が不十分なものが含まれるため、使用する場合
には適切な手法の選択及び必要な対策を行うこと」とあるが、具体的
20
インターネット
攻撃者
イメージ図】
医療情報連携ネット
ワーク運営事業者
攻撃用サーバ
Web サーバ
①
③
医療機関等
IPsec や TLS1.2 以上に
より保護されたセッショ
ン
医療情報連携
ネットワーク
接続用端末 ②
Q-36
「従業者による外部からのアクセスに関する考え方」に、「仮想デ
スクトップを導入した際の運用等の要件にも相当な厳しさが要求され
る」とあるが、どの程度か。
A
従業者による外部からのアクセスで問題になることは、利用するPCや通
信経路等の状態、及び周囲から盗み見されるおそれがある等、従業者の作業
環境が管理できないことです。例えば、PCにキーボードロガーのような不
正ソフトウェアがインストールされているリスクや、空港や喫茶店等でアク
セスすれば周囲の人に覗かれるリスクがあります。
仮想デスクトップは、不正ソフトウェアの作用を避け、PC上に情報が残
留することを防ぐ目的で使用されます。また、通信経路の安全性を確保する
ため、VPNの成立と連動して稼働することが望まれます。運用としては、
周囲の環境に十分注意して盗み見を防止するとともに、過去のログイン時間
の確認を確実に行うこと等を通じて、不正アクセスの検出に努める必要があ
ります。
Q-37
6.11 章の C.10 に「 SSL-VPN は利用する具体的な方法によっ
ては偽サーバへの対策が不十分なものが含まれるため、使用する場合
には適切な手法の選択及び必要な対策を行うこと」とあるが、具体的
20