文献情報
文献番号
200301066A
報告書区分
総括
研究課題名
電子カルテネットワーク等の相互接続法の標準化(総括研究報告書)
課題番号
-
研究年度
平成15(2003)年度
研究代表者(所属機関)
木内 貴弘(東京大学医学部附属病院)
研究分担者(所属機関)
- 廣川博之(旭川医科大学附属病院)
- 辰巳治之(札幌医科大学)
- 山本晧二(三重大学医学部附属病院)
- 井上裕二(三重大学医学部附属病院)
- 原量宏(香川大学医学部附属病院)
- 中島直樹(九州大学病院)
- 高田彰(熊本大学医学部附属病院)
研究区分
厚生労働科学研究費補助金 健康安全総合研究経費 医療技術評価総合研究
研究開始年度
平成15(2003)年度
研究終了予定年度
平成16(2004)年度
研究費
17,000,000円
研究者交替、所属機関変更
-
研究報告書(概要版)
研究目的
全国の複数の地域で電子カルテネットワーク等を中心とした様々な地域医療情報ネットワークの構築が進んでいる。これらのネットワークは、従来、お互いに相互接続することをまったく念頭におかずに独立して構築が行われてきている。このままの状況が続くと、各地域医療ネットワークを全国レベルで相互に接続することが不可能になっていくと思われる。本研究の目的は、VPNを用いて、全ての地域医療情報ネットワーク・医療機関が参加できる安全な閉域ネットワーク(医療VPN)を構築するための標準仕様を策定し、この仕様を利用して、既存の電子カルテネットワーク等を実際に接続し、その実用性を検証することにある。
研究方法
標準仕様の策定のために、ドメイン名・IPアドレス割当方針の策定(廣川)、IPv6との相互接続・運用の検討(辰巳)、VPNの各医療機関への接続形態の検討(山本)、専用線ネットワークとの相互接続法の策定(井上)、DNSの運用法の策定(原)、ルーティング運用法の検討(中島)、運用のセキュリティ保護指針の策定(高田)について各々が分担して原案の策定を行い、3回にわたって班会議を行い全員で策定した仕様原案の検討を行った。仕様策定のあたっては、1)各参加施設がインターネットと医療VPNを同時に利用できるようにすること、2)医療VPNをインターネットのように自律・分散管理できるものにすること、3)医療VPNからの通信についても、各施設自身の責任による侵入対策を行うことを前提とすること、4)医療VPN用のルートDNSサーバを医療VPN内に設置する一方で、各参加施設内の同一のDNSサーバでインターネットと医療VPNの名前解決ができるようにすること、5)既存の国立大学病院VPN(UMIN VPN)の機能の維持と独立した運用が従来とおりできるようにすること、6)国立大学病院がUMIN VPNを介しての医療VPNへの参加できるようにすることを基本方針とした。この方針に基づいて標準仕様を策定し、既存のUMIN VPN及び分担研究者らが関係する6つの地域医療情報ネットワークとの実際の接続作業を行った。
結果と考察
相互接続に必要な医療VPNのユニークなアドレス空間として、インターネットプライベートアドレス領域の10.255.0.0/16を利用することにした。また医療VPN内で利用するドメイン名としては、医療VPN系の情報資源であることを明確にするために、hvpn.netというドメイン名を使用することにした。ファイアウォールとVPN機器の接続方法としては、インターネットを介した通信も医療VPNを介した通信も、施設内部に入る前に必ずファイアウォールを経由するような接続形態とし、またファイアウォールを介さないで、インターネット側からVPN側へ、または逆方向に通信できないような接続形態を検討して、接続例として例示した。医療VPN用ルートDNSサーバは、(1)医療VPN参加各施設内のDNSサーバに医療VPN内のDNS情報をゾーン転送する他、(2)医療VPN内からの直接の名前解決要求に答え、(3)既存UMIN VPNとの互換性維持のために、UMIN VPNの名前問合せ要求(s.umin.ac.jp)にも対応することとした。上記の仕様をもとに実際に相互接続を行い、実際に運用が可能であることを確認した。
医療VPNでは、医療機関等の間の通信はすべて暗号化され、医療VPN内のサーバ等へは、医療VPNの参加機関以外からは、アクセスができないために、安全性は非常に高いと考えてよい。しかし、1つの医療機関等が外部から侵入された場合には、連鎖的に侵入や攻撃にさらされる危険がある。このため、例え医療VPNを介した通信であっても、セキュリティポリシーとして、すべて各施設のファイアウォールによるチェックを行うことを前提とした。
医療VPNは、施設対施設の通信を全体として暗号化するので、認証も施設単位で行うことができ、1施設に1枚の公開鍵証明書を発行すれば済むため、コストが安く、運用・管理も楽である。一方、2つの通信を行っているコンピュータや機器等の間の通信を暗号化するいわゆるend-to-endの暗号化は、VPNよりもセキュリティ上は優位にあると考えられているが、厳密な個人認証または個々のコンピュータや機器毎の認証が必要であるため、個人や個々のコンピュータ・機器等に公開鍵証明書発行が必要となる。この作業は、医療機関等にとっては費用と手間がかかる煩雑な作業であり、また個人対象の場合にはそれ相当の利用者教育も必要となる。また医療機関等の職員の側にも負担が発生する。このため、VPNの普及が先に進んでいくと予想しているが、VPNとend-to-endのセキュリティ暗号化は互いを排除するものではなく、より安全性を高めるためには、両者を併用するのが最も望ましいと考えている。併用のメリットとして、(1)ファイルセーフ機能(例えばメールの暗号化をし忘れて送付してしまったり、誤って医療VPNでなくインターネット経由でメールを出してしまう場合等の対策)及び(2)暗号の二重化による安全性の向上(解読の難しさが増すともに、暗号アルゴリズムのセキュリティホールを相互補完できる)が考えられる。
インターネットの自律・分散管理の仕組みは、インターネットの運用の労力とコストを大幅に下げている。医療VPNでも、インターネットとまったく同様の仕組みを採用しており、実質的に医療機関等だけが参加できる閉じた小さなインターネットのようなものと考えることができる。一方、このような自律・分散型の医療VPNの管理・運用方式では、複数の組織が共同で運用に関わっているため、どの組織も単独で通信全体セキュリティを保証することができない点が問題である。このことは、医療VPN側を利用した通信のセキュリティ保護の責任は、あくまでも通信する2施設の責任で行う必要があることを意味する。このためにも、医療VPNと他の暗号化手段の併用が望ましいと考えられる。
医療VPN内では、インターネットプライベートアドレスの一部を医療VPN用のグローバルアドレスとしてお互い見えるようにする仕様となっている。医療VPN用のIPアドレス空間として、インターネットグローバルアドレスを利用することも検討したが、実用上運用困難と判断した。すべての国内の医療機関等に割り当てられるような広大なまとまったグローバルなアドレス空間の新規確保は困難であるため、小さな多数の領域のグローバルアドレスを医療VPN内で利用することになるが、これによりルーティグの設定が非常に複雑となり、各施設での設定変更が頻繁に発生する等の問題が生じるためである。
医療VPN用として、予約するインターネットプライベートアドレス空間の選択については、最も大きな連続したプライベートアドレス領域の一番後ろの部分を選ぶということを選択の根拠として考えた。どの領域を使ったとしても、既に医療機関内等で使われているプライベートアドレスがバッティングする可能性があることは同じであるが、上記のアドレス領域がバッティングの可能性が最も低いと考えたからである。
DNSについては、従来、UMIN VPNでは、インターネットのDNSサーバを利用して、UMIN VPN内のサーバの名前解決を行う方式をとっていたが、DNSサーバが乗っ取られたり、第三者が偽物のDNSサーバを用意した場合に大きな問題となりえるため、今回の標準仕様の策定にあたっては、医療VPN内で、医療VPN用のDNSルートサーバを運用する方針を採用し、各医療VPN参加施設内のDNSサーバからゾーン転送の設定をすることによって、この問題を解決することができた。
本研究によって、全国立大学病院、全国立病院(HOSPNETは、UMIN VPNと既接続でメール交換のみ可能)と6つの地域医療情報ネットワークがVPNで相互接続されることになった。今回構築した医療VPNは、既に巨大な医療専用閉域ネットワークと呼んでよいと思われる。このような巨大なインフラをどのように活用をするかは、今後の課題といえる。またこの医療VPNが、更に拡大していった場合には、アドレス・ドメイン名割当のための組織やもっと詳細なセキュリティポリシーの策定が必要となってくることが考えられる。
医療VPNでは、医療機関等の間の通信はすべて暗号化され、医療VPN内のサーバ等へは、医療VPNの参加機関以外からは、アクセスができないために、安全性は非常に高いと考えてよい。しかし、1つの医療機関等が外部から侵入された場合には、連鎖的に侵入や攻撃にさらされる危険がある。このため、例え医療VPNを介した通信であっても、セキュリティポリシーとして、すべて各施設のファイアウォールによるチェックを行うことを前提とした。
医療VPNは、施設対施設の通信を全体として暗号化するので、認証も施設単位で行うことができ、1施設に1枚の公開鍵証明書を発行すれば済むため、コストが安く、運用・管理も楽である。一方、2つの通信を行っているコンピュータや機器等の間の通信を暗号化するいわゆるend-to-endの暗号化は、VPNよりもセキュリティ上は優位にあると考えられているが、厳密な個人認証または個々のコンピュータや機器毎の認証が必要であるため、個人や個々のコンピュータ・機器等に公開鍵証明書発行が必要となる。この作業は、医療機関等にとっては費用と手間がかかる煩雑な作業であり、また個人対象の場合にはそれ相当の利用者教育も必要となる。また医療機関等の職員の側にも負担が発生する。このため、VPNの普及が先に進んでいくと予想しているが、VPNとend-to-endのセキュリティ暗号化は互いを排除するものではなく、より安全性を高めるためには、両者を併用するのが最も望ましいと考えている。併用のメリットとして、(1)ファイルセーフ機能(例えばメールの暗号化をし忘れて送付してしまったり、誤って医療VPNでなくインターネット経由でメールを出してしまう場合等の対策)及び(2)暗号の二重化による安全性の向上(解読の難しさが増すともに、暗号アルゴリズムのセキュリティホールを相互補完できる)が考えられる。
インターネットの自律・分散管理の仕組みは、インターネットの運用の労力とコストを大幅に下げている。医療VPNでも、インターネットとまったく同様の仕組みを採用しており、実質的に医療機関等だけが参加できる閉じた小さなインターネットのようなものと考えることができる。一方、このような自律・分散型の医療VPNの管理・運用方式では、複数の組織が共同で運用に関わっているため、どの組織も単独で通信全体セキュリティを保証することができない点が問題である。このことは、医療VPN側を利用した通信のセキュリティ保護の責任は、あくまでも通信する2施設の責任で行う必要があることを意味する。このためにも、医療VPNと他の暗号化手段の併用が望ましいと考えられる。
医療VPN内では、インターネットプライベートアドレスの一部を医療VPN用のグローバルアドレスとしてお互い見えるようにする仕様となっている。医療VPN用のIPアドレス空間として、インターネットグローバルアドレスを利用することも検討したが、実用上運用困難と判断した。すべての国内の医療機関等に割り当てられるような広大なまとまったグローバルなアドレス空間の新規確保は困難であるため、小さな多数の領域のグローバルアドレスを医療VPN内で利用することになるが、これによりルーティグの設定が非常に複雑となり、各施設での設定変更が頻繁に発生する等の問題が生じるためである。
医療VPN用として、予約するインターネットプライベートアドレス空間の選択については、最も大きな連続したプライベートアドレス領域の一番後ろの部分を選ぶということを選択の根拠として考えた。どの領域を使ったとしても、既に医療機関内等で使われているプライベートアドレスがバッティングする可能性があることは同じであるが、上記のアドレス領域がバッティングの可能性が最も低いと考えたからである。
DNSについては、従来、UMIN VPNでは、インターネットのDNSサーバを利用して、UMIN VPN内のサーバの名前解決を行う方式をとっていたが、DNSサーバが乗っ取られたり、第三者が偽物のDNSサーバを用意した場合に大きな問題となりえるため、今回の標準仕様の策定にあたっては、医療VPN内で、医療VPN用のDNSルートサーバを運用する方針を採用し、各医療VPN参加施設内のDNSサーバからゾーン転送の設定をすることによって、この問題を解決することができた。
本研究によって、全国立大学病院、全国立病院(HOSPNETは、UMIN VPNと既接続でメール交換のみ可能)と6つの地域医療情報ネットワークがVPNで相互接続されることになった。今回構築した医療VPNは、既に巨大な医療専用閉域ネットワークと呼んでよいと思われる。このような巨大なインフラをどのように活用をするかは、今後の課題といえる。またこの医療VPNが、更に拡大していった場合には、アドレス・ドメイン名割当のための組織やもっと詳細なセキュリティポリシーの策定が必要となってくることが考えられる。
結論
本研究の成果によって、電子カルテネットワーク等の地域医療情報ネットワーク及びAPSベンダー提供の電子カルテシステム等の全国レベルでの相互接続(医療VPN)のための標準仕様が策定された。またUMIN VPN、HOSPNET、6つの地域医療情報ネットワークが実際に相互接続され、安全な相互の通信が可能になった。今後は、更に参加施設を増やしていくとともに、構築された医療VPNを有効に活用する方法についての研究が行われていくことが期待される。
公開日・更新日
公開日
-
更新日
-