オンライン資格確認 院内ネットワーク構成例 その2
紙の保険証を廃止するという話、かなり本気な感じですねぇ。現在の法律だと保険者は紙の保険証を発行する義務があります。政府は、この「義務」を撤廃しようというのです。上手いです。消極的な改正ですけど、効果はかなりあるでしょう、保険者はどこも苦しいですから紙での保険証の発行、回収、更新業務が消えて、資格ミスでの一部負担金の回収業務もなくなりますので、一気にマイナンバーに移行する可能性があります。
なんて言ってたら、今度はマインバー対策費の全額補助のニュース。まさに飴と鞭です(笑)でも3/4の助成と全額じゃ、腰の入れ方がかわりますね。医療機関側からも早期の対応が始まりそうです。でもヒトもモノも足りるのかしらん(^^;
閑話休題
さて、前回、iPadもiPhoneにも無駄にIPv6アドレスが振られちゃったとこで終わりになりましたが、今回はこれへの対応で、セキュリティを考慮した構成です。
セキュリティを考慮した構成
iPadやiPhoneは個別にIPv6を無効化できません。そのため院内LANのWiFiにつながったiPadやiPhoneのIPv6を無効にするにはネットワーク自体の設定をIPv6を通さないようするしかありません。でも同じネットワーク上のオンライン資格確認はIPv6に対応しないといけません。
こういった時の対策がネットワークの分割です。ネットワークを2つに分けて、一つはIPv6に対応させ、もう一つはIPv6を無効化します。
ネットワークを2つに分けて、そして、この2つのネットワークを接続させるのがルーターです。
こんな感じにルーターを途中にいれるとネットワークが分割できます。
でも配線で分離しただけでは動作しません。IPアドレスを変更して論理的にも分割する必要があります。
同一のネットワーク(直接通信ができるネットワーク)とは、IPアドレスの上の3つの数字が同じもの同士のネットワークです。3つの数字が違うと物理的にケーブルで繋いでいても違うネットワークとなり通信できなくなります。ですので、分離する場合はこの3つの数字を変更します。ただ最初の2つの数字は特殊な番号ですので通常は変更しません。3つ目の数字を変更します。
192.168.1.2、192.168.1.4、192.168.1.8 同じネットワーク
192.168.1.2 と 192.168.10.2、192.168.10.3 は違うネットワーク
*4番目の数字は同じネットワーク内では重複してはいけません。違うネットワークなら同じ数字でもいいです。
このIPアドレスの変更はルーターの設定の変更で行います。また、上記のように違うネットワークは直接通信できません。この違うネットワーク同士を繋いで通信を仲介するのもルーターの大事な機能です。
今回はオンライン資格確認端末だけがIPv6の通信をして、それ以外は通信しないようにするので、このようにオンライン資格確認端末とそれ以外の機器の間にルーターをいれてネットワークを分けます。
実際の接続状態を図示した方がわかりやすいでしょう。
このようにHGW(ホームゲートウェイ)のLAN端子に全ての端末がつながってます。WiFi接続もLAN側の接続と同じです。
新しく追加したルーターのWAN側端子とHGWのLAN側端子をケーブルで接続します。HGWに接続していた資格確認端末以外のPCやiPadは新しく追加したルーターのLAN側端子か、このルーターのWiFiにつなぎ直します。
ルーター(WSR-1166)の設定
ルーターの設定画面をブラウザで開いて設定します。今回は実際にテストに使用してるBUFFALOのWSR1166DHPL2の設定画面で解説していきます。
まずはLAN側のIPアドレスの設定です。
LAN→LAN で LAN側IPアドレス を 192.168.20.1 にサブネットマスクは 255.255.255.0 です。
3番目の20の数字は他の数字でもかまいません。4番目は必ず 1 です。
DHCPサーバー機能は 使用する をチェック
割り当てIPアドレス はLAN側IPアドレスの次の番号 192.168.20.2 から64台にします。
設定ボタンを押すとルーターが再起動します。設定画面のアドレスが192.168.20.1に変更になりますので、改めてそのアドレスで設定画面を開き直します。
このルーターのLAN側の接続した機器にはDHCPサーバーを有効にしているので、192.168.20.2から順番に新しいIPv4アドレスが自動的に振られていきます。
次はWAN側のIPアドレスの設定です。
ここから2021.1.21加筆
Internet→Internet で IPアドレス取得方法 を DHCPサーバーからIPアドレスを自動取得 にします。
拡張設定 の デフォルトゲートウェイ、DNSサーバーアドレスは空欄のままです。
設定ボタンを押して設定を反映させます。
ここまで2021.1.21加筆
ここから2021.1.21訂正
なんらかの理由でこのルーターのIPを固定したい場合は、次のように手動でIPアドレスを設定します。
Internet→Internet で IPアドレス取得方法 を 手動設定 にします。
IPアドレスは 192.168.1.99 にサブネットマスクは 255.255.255.0 です。
3つ目までの数値はHGWのLAN側のIPアドレスと一致させます。4つ目はHGWに接続した機器のIPアドレスと被らない数値にします。
この設定で、192.168.1.xx と 192.168.20.xx が通信できるようになります。
さらに、このルーターに接続した機器(192.168.20.xx)がインターネットに繋がるように
拡張設定 の デフォルトゲートウェイを HGWにします。HGWのアドレス 192.168.1.1 を設定します。
DNSサーバーアドレスは、プライマリにデフォルトゲートウェイと同じアドレスを設定します。
これで、192.168.1.xx、192.168.20.xx ではないIPアドレス、すなわちインターネットへの通信はHGWを経由してインターネットへつながります。
設定ボタンを押して設定を反映させます。
ここまで2021.1.21訂正
いよいよ本題 IPv6を阻止する
長々とネットワークの分離方法を解説してきましたが、本題はIPv6の無効化です。といってもここまでくればとっても簡単。次のように設定します。
Internet→IPv6 で IPv6接続方法 を IPv6を使用しない にします。
設定ボタンを押して反映します。
これだけでOK、しばらく待つか、接続した機器を再起動等をするとIPv6のアドレスが消えます。
さらにセキュリティを強化する
実はこのルーターを使ってネットワークを資格確認端末と分離する方法は、厚労省のマニュアルに指定されて方法です。マニュアルには説明のところに
レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化をする。
と記載されていて、分離するだけでなく資格確認端末からレセプトコンピュータへの通信を拒否するように設定せよとの指示があります。
コンピュータの通信はお互いに情報を送り合うので双方向なのですが、どちらが通信を始めるかが重要になります。一般的な利用者であれば、自分のところ、すなわちLAN側から通信をはじめて、WAN(インターネット)側のコンピュータ(サーバー)が返信するという形になります。
逆にWAN(インターネット)側のコンピュータが通信をはじめて、LAN側のコンピュータが返信するという場合はほとんどなく、あるとすると悪意のある攻撃といえます。
資格確認端末からレセプトコンピュータ等への通信を拒否することで、外部に常時接続する資格確認端末経由で外部からの攻撃、あるいは資格確認端末が乗っ取られて院内の電子カルテシステムを攻撃する事から守ることができるのです。
そのために推奨している方法が
ステートフルインスペクション機能 別名 ステートフル・パケット・インスペクション機能(SPI)です。
SPIはパケット(通信)の動作を監視して、LAN側から発信したパケットとそのパケットに対する応答のパケットだけを通過させるように通信を制御します。これによりWAN側からの通信を遮断するように動作します。
仕組みと目的は全然違うのですが、同じような結果をもたらす
IPマスカレード(動的IPマスカレード、アドレス変換、NAT、NAPT)
というのがあります。この機能はLAN側の複数のアドレスを変換して、WAN側の1つのアドレスに代表させてしまうもので、通常はWAN側のグローバルアドレスとLAN側のローカルアドレスを相互に変換するのに使います。今回の場合は、どっちもLANですが、仕組みは同じで、192.168.20.xxの複数の機器は、資格確認側からみると、全部が192.168.1.99の単一のコンピュータからの通信に見えます。それでも192.168.20.xxの中の個々の機器を区別できるようになっているのはポート変換というのを使って巧妙に通信を振り分ける仕組みが働いているからです。
この見た目は192.168.1.99のコンピュータに見えるのに、中身は違うというところから、この機能は仮面舞踏会(マスカレード)と呼ばれるようになりました。この変換は通常はLAN側から通信を始めないと正しく変換されません。(外からでも有効な静的IPマスカレードというのもあるのですが、それは使いません。)このため、目的は違うのですが、結果として外からの通信を遮断する機能として働きます。
ということで、これを早速、設定しましょう。
ところが今回使ってるWSR-1166にはSPIの設定項目がありません。カタログ等にはSPI機能付きとあるのですが設定がないのです。そこでメーカーに確認したところ アドレス変換を有効にするとそれに連動してSPIが有効になる との回答を得ました。では改めて設定していきましょう。
Internet→アドレス変換 で アドレス変換を使用する にチェックをいれて、 設定ボタンで設定します。
この設定が有効になると、資格確認端末から他のコンピュータは見えなくなりファイル共有をすることができなくなります。逆に資格確認端末以外のコンピュータからは資格確認端末が見えて資格確認端末の中の共有フォルダをマウントしてファイルの読み書きが可能です。実際にSPIが動作しているのかどうかは確認できないものの通信の方向を限定することができていますので、良しとしましょう。
以上で必要な対処は済んでいるのですが念のためファイアウォールの設定も確認しておきましょう。
セキュリティー→ファイアウォール で 図のようにIPv6関係は全てチェックして拒否するようにします。
以上でネットワークの構築はひとまず完了です。なお資格確認端末、HGWの設定は前回の「オンライン資格確認 院内ネットワーク構成例 その1」と同じですので、そちらをお読みください。
歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。
カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。