« 2020年8月 | トップページ | 2021年1月 »

2020年11月の2件の記事

2020年11月20日 (金)

オンライン資格確認 院内ネットワーク構成例 その2

紙の保険証を廃止するという話、かなり本気な感じですねぇ。現在の法律だと保険者は紙の保険証を発行する義務があります。政府は、この「義務」を撤廃しようというのです。上手いです。消極的な改正ですけど、効果はかなりあるでしょう、保険者はどこも苦しいですから紙での保険証の発行、回収、更新業務が消えて、資格ミスでの一部負担金の回収業務もなくなりますので、一気にマイナンバーに移行する可能性があります。

なんて言ってたら、今度はマインバー対策費の全額補助のニュース。まさに飴と鞭です(笑)でも3/4の助成と全額じゃ、腰の入れ方がかわりますね。医療機関側からも早期の対応が始まりそうです。でもヒトもモノも足りるのかしらん(^^;

閑話休題

さて、前回、iPadもiPhoneにも無駄にIPv6アドレスが振られちゃったとこで終わりになりましたが、今回はこれへの対応で、セキュリティを考慮した構成です。

 

セキュリティを考慮した構成

iPadやiPhoneは個別にIPv6を無効化できません。そのため院内LANのWiFiにつながったiPadやiPhoneのIPv6を無効にするにはネットワーク自体の設定をIPv6を通さないようするしかありません。でも同じネットワーク上のオンライン資格確認はIPv6に対応しないといけません。

こういった時の対策がネットワークの分割です。ネットワークを2つに分けて、一つはIPv6に対応させ、もう一つはIPv6を無効化します。
ネットワークを2つに分けて、そして、この2つのネットワークを接続させるのがルーターです。

Untitled-9

こんな感じにルーターを途中にいれるとネットワークが分割できます。

でも配線で分離しただけでは動作しません。IPアドレスを変更して論理的にも分割する必要があります。
同一のネットワーク(直接通信ができるネットワーク)とは、IPアドレスの上の3つの数字が同じもの同士のネットワークです。3つの数字が違うと物理的にケーブルで繋いでいても違うネットワークとなり通信できなくなります。ですので、分離する場合はこの3つの数字を変更します。ただ最初の2つの数字は特殊な番号ですので通常は変更しません。3つ目の数字を変更します。

  192.168.1.2192.168.1.4192.168.1.8 同じネットワーク
  192.168.1.2 と 192.168.10.2192.168.10.3 は違うネットワーク
*4番目の数字は同じネットワーク内では重複してはいけません。違うネットワークなら同じ数字でもいいです。

このIPアドレスの変更はルーターの設定の変更で行います。また、上記のように違うネットワークは直接通信できません。この違うネットワーク同士を繋いで通信を仲介するのもルーターの大事な機能です。

今回はオンライン資格確認端末だけがIPv6の通信をして、それ以外は通信しないようにするので、このようにオンライン資格確認端末とそれ以外の機器の間にルーターをいれてネットワークを分けます。

Untitled-8

 

実際の接続状態を図示した方がわかりやすいでしょう。

分割前の接続状態
Untitled-10

このようにHGW(ホームゲートウェイ)のLAN端子に全ての端末がつながってます。WiFi接続もLAN側の接続と同じです。

 

ネットワークを分割後
Untitled-11

新しく追加したルーターのWAN側端子とHGWのLAN側端子をケーブルで接続します。HGWに接続していた資格確認端末以外のPCやiPadは新しく追加したルーターのLAN側端子か、このルーターのWiFiにつなぎ直します。

 

ルーター(WSR-1166)の設定

ルーターの設定画面をブラウザで開いて設定します。今回は実際にテストに使用してるBUFFALOWSR1166DHPL2の設定画面で解説していきます。

まずはLAN側のIPアドレスの設定です。
LAN→LAN で LAN側IPアドレス を 192.168.20.1 にサブネットマスクは 255.255.255.0 です。
3番目の20の数字は他の数字でもかまいません。4番目は必ず 1 です。
DHCPサーバー機能は 使用する をチェック
割り当てIPアドレス はLAN側IPアドレスの次の番号 192.168.20.2 から64台にします。

20201119-151234

設定ボタンを押すとルーターが再起動します。設定画面のアドレスが192.168.20.1に変更になりますので、改めてそのアドレスで設定画面を開き直します。

このルーターのLAN側の接続した機器にはDHCPサーバーを有効にしているので、192.168.20.2から順番に新しいIPv4アドレスが自動的に振られていきます。

 

次はWAN側のIPアドレスの設定です。


ここから2021.1.21加筆

Internet→Internet で IPアドレス取得方法 を DHCPサーバーからIPアドレスを自動取得 にします。

拡張設定 の デフォルトゲートウェイ、DNSサーバーアドレスは空欄のままです。

20210121-162554

設定ボタンを押して設定を反映させます。

ここまで2021.1.21加筆


ここから2021.1.21訂正

なんらかの理由でこのルーターのIPを固定したい場合は、次のように手動でIPアドレスを設定します。

Internet→Internet で IPアドレス取得方法 を 手動設定 にします。
IPアドレスは 192.168.1.99 にサブネットマスクは 255.255.255.0 です。
3つ目までの数値はHGWのLAN側のIPアドレスと一致させます。4つ目はHGWに接続した機器のIPアドレスと被らない数値にします。

この設定で、192.168.1.xx と 192.168.20.xx が通信できるようになります。

さらに、このルーターに接続した機器(192.168.20.xx)がインターネットに繋がるように
拡張設定 の デフォルトゲートウェイを HGWにします。HGWのアドレス 192.168.1.1 を設定します。
DNSサーバーアドレスは、プライマリデフォルトゲートウェイと同じアドレスを設定します。
これで、192.168.1.xx、192.168.20.xx ではないIPアドレス、すなわちインターネットへの通信はHGWを経由してインターネットへつながります。
設定ボタンを押して設定を反映させます。

20210121-162501

ここまで2021.1.21訂正


 

いよいよ本題 IPv6を阻止する

長々とネットワークの分離方法を解説してきましたが、本題はIPv6の無効化です。といってもここまでくればとっても簡単。次のように設定します。

Internet→IPv6 で IPv6接続方法 を IPv6を使用しない にします。
設定ボタンを押して反映します。

20201119-151306

これだけでOK、しばらく待つか、接続した機器を再起動等をするとIPv6のアドレスが消えます。

 

さらにセキュリティを強化する

実はこのルーターを使ってネットワークを資格確認端末と分離する方法は、厚労省のマニュアルに指定されて方法です。マニュアルには説明のところに

レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化をする。

と記載されていて、分離するだけでなく資格確認端末からレセプトコンピュータへの通信を拒否するように設定せよとの指示があります。

コンピュータの通信はお互いに情報を送り合うので双方向なのですが、どちらが通信を始めるかが重要になります。一般的な利用者であれば、自分のところ、すなわちLAN側から通信をはじめて、WAN(インターネット)側のコンピュータ(サーバー)が返信するという形になります。
逆にWAN(インターネット)側のコンピュータが通信をはじめて、LAN側のコンピュータが返信するという場合はほとんどなく、あるとすると悪意のある攻撃といえます。

Untitled-12

資格確認端末からレセプトコンピュータ等への通信を拒否することで、外部に常時接続する資格確認端末経由で外部からの攻撃、あるいは資格確認端末が乗っ取られて院内の電子カルテシステムを攻撃する事から守ることができるのです。

そのために推奨している方法が

ステートフルインスペクション機能  別名 ステートフル・パケット・インスペクション機能(SPI)です。

SPIはパケット(通信)の動作を監視して、LAN側から発信したパケットとそのパケットに対する応答のパケットだけを通過させるように通信を制御します。これによりWAN側からの通信を遮断するように動作します。

仕組みと目的は全然違うのですが、同じような結果をもたらす

IPマスカレード(動的IPマスカレード、アドレス変換、NAT、NAPT)

というのがあります。この機能はLAN側の複数のアドレスを変換して、WAN側の1つのアドレスに代表させてしまうもので、通常はWAN側のグローバルアドレスとLAN側のローカルアドレスを相互に変換するのに使います。今回の場合は、どっちもLANですが、仕組みは同じで、192.168.20.xxの複数の機器は、資格確認側からみると、全部が192.168.1.99の単一のコンピュータからの通信に見えます。それでも192.168.20.xxの中の個々の機器を区別できるようになっているのはポート変換というのを使って巧妙に通信を振り分ける仕組みが働いているからです。

この見た目は192.168.1.99のコンピュータに見えるのに、中身は違うというところから、この機能は仮面舞踏会(マスカレード)と呼ばれるようになりました。この変換は通常はLAN側から通信を始めないと正しく変換されません。(外からでも有効な静的IPマスカレードというのもあるのですが、それは使いません。)このため、目的は違うのですが、結果として外からの通信を遮断する機能として働きます。

Untitled-16

ということで、これを早速、設定しましょう。
ところが今回使ってるWSR-1166にはSPIの設定項目がありません。カタログ等にはSPI機能付きとあるのですが設定がないのです。そこでメーカーに確認したところ アドレス変換を有効にするとそれに連動してSPIが有効になる との回答を得ました。では改めて設定していきましょう。

Internet→アドレス変換 で アドレス変換を使用する にチェックをいれて、 設定ボタンで設定します。

20201119-151253

この設定が有効になると、資格確認端末から他のコンピュータは見えなくなりファイル共有をすることができなくなります。逆に資格確認端末以外のコンピュータからは資格確認端末が見えて資格確認端末の中の共有フォルダをマウントしてファイルの読み書きが可能です。実際にSPIが動作しているのかどうかは確認できないものの通信の方向を限定することができていますので、良しとしましょう。

 

以上で必要な対処は済んでいるのですが念のためファイアウォールの設定も確認しておきましょう。

セキュリティー→ファイアウォール で 図のようにIPv6関係は全てチェックして拒否するようにします。

20201119-151358

 

以上でネットワークの構築はひとまず完了です。なお資格確認端末、HGWの設定は前回の「オンライン資格確認 院内ネットワーク構成例 その1」と同じですので、そちらをお読みください。

 

 


歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

| | コメント (7)

2020年11月16日 (月)

オンライン資格確認 院内ネットワーク構成例 その1

来年3月からはじまるオンライン資格確認、保険証全面廃止なんていう物騒なニュースも飛び交っていますが、とりあえず便利になるのは確かです。現時点では一般には詳細は開示されていないようですが、開発ベンダー向けには来年への対応に向けて着々と準備が進んでいます。

このようなサービス、今時ならアプリをダウンロードしてアカウント作って、即稼働って感じになるのでしょうけど、マイナンバーカードを使う、最高レベルの個人情報を取り扱う、既存の医療システムとの連携するといういろんな意味で結構ハードルが高い対応を迫られているので、簡単に導入ってわけにはいきません。

それに加えてサービスがIPv6ベースであること、これが意外に手強いです。IPv4で十分なので、なんとなく避けていたPv6、必要に迫られて調べるとIPv4とはまったく、それこそ天地が逆に世界で、驚きに世界でした。今、関係ないと思ってる人も知っておかないといけないことがあります。そういったことも追々解説していきます。

 

今回は院内ネットワークの構成例です。

ベンダー向けのマニュアル等でも概念的な記載しかないし具体的な設定方法はないので実際にいろいろ試してみました。テストした私の環境は以下のとおりです。

回線
NTT東日本フレッツ光ネクスト・ファミリータイプ 光電話有り
HGW(ホームゲートウェイ)
RT-400(ブロードバンドルーター)
資格確認端末
i7 16GB win10 Home
連携電子カルテ
カルテメーカー

 

とりあえず通信できるようにした構成

セキュリティもなんにも考えないで、とりあえず資格確認サーバーと通信ができて資格確認アプリケーションが動作することを確認するために、既存の院内LANの空いてるPCにインストールした状態です。

Untitled-4

院内LANの各PCからは、IPv4でHGWを経由してインターネットに接続してます。資格確認端末も同様です。

カルテメーカー(電子カルテ)と資格確認端末はファイル共有で通信用のフォルダを共有してます。院内LANは従来通りのIPv4ベースのネットワークです。ファイル共有自体はMacとWinが混在した環境ですので、SMBプロトコルのファイル共有ですね。カルテメーカーと資格確認端末はこの共有フォルダにファイルを書き込むことで通信します。通常はカルテメーカー側から要求(コマンド)ファイルを書き込み、それを端末側が見て処理をして、結果ファイルが出力されます。共有フォルダは資格確認端末側にありますので、常に、カルテメーカーから資格確認端末の共有フォルダを見にいきます。逆に資格確認端末からカルテメーカー側のフォルダにはアクセスしません。(ここ重要)

資格確認端末とサービスを提供する資格確認システムのサーバーとは、IPv6のIPoEで接続します。

IPv6ね、ふ〜んIPv4の上位互換みたいなもんだよね。簡単簡単

IPv6舐めてました。m(_ _)m

ぜんぜ〜ん、もう、全く、完全に別物です。

IPv4ではISP(インターネットプロバイダ)まではPPPoEという仮想の専用線で1対1で接続してます。途中にあるNTTの回線とかは意識する必要はありません。オンライン請求でも同じで、基金や国保まではPPPoEで接続されていますので、途中の経路を気にしないでつながっています。

でもIPv6はそうではありません。IPv6で繋がってる先は広大なコンピュータネットワークです。NTT東(西)が運営するNGNという日本の半分を覆う巨大なネットワークに直接つながり院内LANはシームレスにそのネットワークの一部になります。繋がる先も実は単一のサーバーではなく資格確認ネットワークというネットワークにつながります。IPv6では院内LANの個々の端末のPCにもグローバルなIPアドレスが振られて、原則的にはこの広大なネットワークに参加している全ての端末(PCでも、プリンタでも、ネットワークカメラでも、エアコンでも、冷蔵庫でも)に(から)アクセス可能になります。さらに、このNGNから繋がったインターネットも同じ扱いになりますので、全世界の端末と自由に通信できるのです。

すばらしい!!

でも、セキュリティとかプライバシーとか、ガバガバだよねw

IPv4では、グローバルIPはHGWにしか割り振らず、HGWの内側はローカルのIPですので、直接繋ぐってことが原理的にできませんでした。逆に、外からの侵入はそれなりに難しくとりあえず何もしなくても比較的安全です。

ところがIPv6では上記のように原則開放されていますので、安全を確保するには対策が必要です。その対策はHGWがまず担います。HGWにはIPv6FW(ファイアーウォール)とIPv6パケットフィルター機能がありますので、これで対策します。

ところがところが、このNTTのHGW、初期設定だとちょっと不味い状態になってます。IPv6で通信するために加入する「v6オプション」に加入した場合、外からの侵入が可能な状態になってます。この件はまた改めて記事にしますが、とりあえずは次のように操作して穴を埋めておきましょう。

HGWの管理画面に入り→詳細設定→IPv6パケットフィルタ設定(IPoE)→IPv6セキュリティのレベルを「高度」に変更→設定→保存

次に本命の資格確認端末の設定ですが、セットアップマニュアルによると大きく分けて「ルーターがある」場合と「ルーターがない」場合とにわかれています。

HGWってルーターだから「ルーターがある」場合だよね?

ブッブー!

NTTが設置したHGWは「IPv6パススルー」モードで動作してるので、ルーターとしては動作してないんです。なので、ここは「ルーターがない」場合にしたがって設定します。

これがわからなくてねぇ、マニュアルにでてくるRAだとかDHCP-DPだとかIPv6の用語が分からなくて苦労しました。専門書を久しぶりに買って勉強しちゃいました。いい機会でしたけど、IPv4だと、HGWがルーターで、DHCPサーバーで、DNSの設定もここで、FWも、GWも、セキュリティもほぼ全部HGWだけど、IPv6ではそうではないんですよねぇ。IPv6だとHGWはそもそもルーターじゃないけど、FW機能があったり、でもGWじゃないし。実際、未だによくわかってません。

で、資格確認端末の設定ですが、これ自体はとっても簡単です。ここがIPv6の良い点で特別なソフトや装置を使わなくてもネットに参加できてしまいます。詳細はマニュアルに任せますが、大まかな手順としては。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)をチェック→プロパティを開いて

  • IPv6アドレスを自動的に取得するをチェック
  • 次のDNSサーバーのアドレスを使うをチェック、アドレスに指定されたオンライン資格確認ネットワーク用のDNSアドレスを設定

IPv6の回線への設定はこれだけです。あとは証明書のインストール、関連ソフトのインストール、Edgeのインストールと設定、プラグインの導入などをマニュアルにしたがって行います。

資格確認端末には要求ファイルを書き込むフォルダ(reqという名前にしました。名前はなんでもいいです。)と結果ファイルが書き込まれるフォルダ(res)を作り、その2つを共有フォルダとして公開します。カルテメーカーのサーバーで、この2つのフォルダをマウントして読み書きできるようにします。これらの設定はIPv4ベースで行います。

これで無事に動き出すはず。確かに動作は確認できました。でも、なんだかとても不安定。オンライン資格確認のネットワークに繋がったり切れたり安定しません。

何故に不安定?

数日悩んで閃きました!デフォルトゲートウェイだ!!

デフォルトゲートウェイとは、インターネットやオンライン資格確認とかの外への通信をするための玄関みたいなものです。外への通信経路は今設定したIPv6のはずです。IPv6のデフォルトゲートウェイは自動的に設定されています。

と同時にIPv4はファイル共有のため院内LANの通信経路と利用していますが、こちらもインターネットに接続しているので、IPv4用のデフォルトゲートウェイが自動的に設定されています。

そうです、この資格確認端末には外への玄関が2つ同時に存在していて、優先順位が同じなので、資格確認のアプリケーションはその時々に応じてランダムに通信経路を選択していたのです。たまたまIPv6側が選ばれれば正常に動作し、IPv4が繋がると送信先がなくてエラーになるというわけです。

というわけで、IPv4のデフォルトゲートウェイを無効化します。ただIPv4アドレスの取得を自動にしたままデフォルトゲートウェイを無効化できないので、手動設定にして無効化します。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン4(TCP/IPv4)を選択→プロパティを開いて

次のIPアドレスを使うを選択。IPアドレスとサブネットマスクを設定。デフォルトゲートウェイは空欄のまま

これで安定して通信できるようになりました。

げっ、他のPCにもIPv6のアドレスが割り振られてる!

安定して気持ちよく接続試験をしていて、ふと気になって関係ないPCのIPアドレスを確認してみると、IPv6アドレスが振られてる!!!

考えてみたら当たり前ですよねぇ。IPv6が有効なら、自動的に割り振られるのがIPv6です。IPv4もそうですけど、でもIPv4と違ってIPv6はグローバルアドレス。使ってないのに割り振られるのはなんとも気持ち悪い、HGWで阻止しているとはいえ必要ないなら振ってほしくはない。というわけで次のように設定して無効化します。

PC:
コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)のチェックを外す。

Mac:
システム環境設定→ネットワーク→ネットワークを選択して詳細...→TCP/IPのタブを選択→IPv6の設定を「リンクローカルのみ」にする。

これでPCもMacも安全。と思ってiPadとiPhoneをみると...こっちにもorz

続く...

 

 


 

歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

 

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

 

 

 

 

 

| | コメント (2)

« 2020年8月 | トップページ | 2021年1月 »