« 歯式メーカー アップデート | トップページ | オンライン資格確認 院内ネットワーク構成例 その2 »

2020年11月16日 (月)

オンライン資格確認 院内ネットワーク構成例 その1

来年3月からはじまるオンライン資格確認、保険証全面廃止なんていう物騒なニュースも飛び交っていますが、とりあえず便利になるのは確かです。現時点では一般には詳細は開示されていないようですが、開発ベンダー向けには来年への対応に向けて着々と準備が進んでいます。

このようなサービス、今時ならアプリをダウンロードしてアカウント作って、即稼働って感じになるのでしょうけど、マイナンバーカードを使う、最高レベルの個人情報を取り扱う、既存の医療システムとの連携するといういろんな意味で結構ハードルが高い対応を迫られているので、簡単に導入ってわけにはいきません。

それに加えてサービスがIPv6ベースであること、これが意外に手強いです。IPv4で十分なので、なんとなく避けていたPv6、必要に迫られて調べるとIPv4とはまったく、それこそ天地が逆に世界で、驚きに世界でした。今、関係ないと思ってる人も知っておかないといけないことがあります。そういったことも追々解説していきます。

 

今回は院内ネットワークの構成例です。

ベンダー向けのマニュアル等でも概念的な記載しかないし具体的な設定方法はないので実際にいろいろ試してみました。テストした私の環境は以下のとおりです。

回線
NTT東日本フレッツ光ネクスト・ファミリータイプ 光電話有り
HGW(ホームゲートウェイ)
RT-400(ブロードバンドルーター)
資格確認端末
i7 16GB win10 Home
連携電子カルテ
カルテメーカー

 

とりあえず通信できるようにした構成

セキュリティもなんにも考えないで、とりあえず資格確認サーバーと通信ができて資格確認アプリケーションが動作することを確認するために、既存の院内LANの空いてるPCにインストールした状態です。

Untitled-4

院内LANの各PCからは、IPv4でHGWを経由してインターネットに接続してます。資格確認端末も同様です。

カルテメーカー(電子カルテ)と資格確認端末はファイル共有で通信用のフォルダを共有してます。院内LANは従来通りのIPv4ベースのネットワークです。ファイル共有自体はMacとWinが混在した環境ですので、SMBプロトコルのファイル共有ですね。カルテメーカーと資格確認端末はこの共有フォルダにファイルを書き込むことで通信します。通常はカルテメーカー側から要求(コマンド)ファイルを書き込み、それを端末側が見て処理をして、結果ファイルが出力されます。共有フォルダは資格確認端末側にありますので、常に、カルテメーカーから資格確認端末の共有フォルダを見にいきます。逆に資格確認端末からカルテメーカー側のフォルダにはアクセスしません。(ここ重要)

資格確認端末とサービスを提供する資格確認システムのサーバーとは、IPv6のIPoEで接続します。

IPv6ね、ふ〜んIPv4の上位互換みたいなもんだよね。簡単簡単

IPv6舐めてました。m(_ _)m

ぜんぜ〜ん、もう、全く、完全に別物です。

IPv4ではISP(インターネットプロバイダ)まではPPPoEという仮想の専用線で1対1で接続してます。途中にあるNTTの回線とかは意識する必要はありません。オンライン請求でも同じで、基金や国保まではPPPoEで接続されていますので、途中の経路を気にしないでつながっています。

でもIPv6はそうではありません。IPv6で繋がってる先は広大なコンピュータネットワークです。NTT東(西)が運営するNGNという日本の半分を覆う巨大なネットワークに直接つながり院内LANはシームレスにそのネットワークの一部になります。繋がる先も実は単一のサーバーではなく資格確認ネットワークというネットワークにつながります。IPv6では院内LANの個々の端末のPCにもグローバルなIPアドレスが振られて、原則的にはこの広大なネットワークに参加している全ての端末(PCでも、プリンタでも、ネットワークカメラでも、エアコンでも、冷蔵庫でも)に(から)アクセス可能になります。さらに、このNGNから繋がったインターネットも同じ扱いになりますので、全世界の端末と自由に通信できるのです。

すばらしい!!

でも、セキュリティとかプライバシーとか、ガバガバだよねw

IPv4では、グローバルIPはHGWにしか割り振らず、HGWの内側はローカルのIPですので、直接繋ぐってことが原理的にできませんでした。逆に、外からの侵入はそれなりに難しくとりあえず何もしなくても比較的安全です。

ところがIPv6では上記のように原則開放されていますので、安全を確保するには対策が必要です。その対策はHGWがまず担います。HGWにはIPv6FW(ファイアーウォール)とIPv6パケットフィルター機能がありますので、これで対策します。

ところがところが、このNTTのHGW、初期設定だとちょっと不味い状態になってます。IPv6で通信するために加入する「v6オプション」に加入した場合、外からの侵入が可能な状態になってます。この件はまた改めて記事にしますが、とりあえずは次のように操作して穴を埋めておきましょう。

HGWの管理画面に入り→詳細設定→IPv6パケットフィルタ設定(IPoE)→IPv6セキュリティのレベルを「高度」に変更→設定→保存

次に本命の資格確認端末の設定ですが、セットアップマニュアルによると大きく分けて「ルーターがある」場合と「ルーターがない」場合とにわかれています。

HGWってルーターだから「ルーターがある」場合だよね?

ブッブー!

NTTが設置したHGWは「IPv6パススルー」モードで動作してるので、ルーターとしては動作してないんです。なので、ここは「ルーターがない」場合にしたがって設定します。

これがわからなくてねぇ、マニュアルにでてくるRAだとかDHCP-DPだとかIPv6の用語が分からなくて苦労しました。専門書を久しぶりに買って勉強しちゃいました。いい機会でしたけど、IPv4だと、HGWがルーターで、DHCPサーバーで、DNSの設定もここで、FWも、GWも、セキュリティもほぼ全部HGWだけど、IPv6ではそうではないんですよねぇ。IPv6だとHGWはそもそもルーターじゃないけど、FW機能があったり、でもGWじゃないし。実際、未だによくわかってません。

で、資格確認端末の設定ですが、これ自体はとっても簡単です。ここがIPv6の良い点で特別なソフトや装置を使わなくてもネットに参加できてしまいます。詳細はマニュアルに任せますが、大まかな手順としては。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)をチェック→プロパティを開いて

  • IPv6アドレスを自動的に取得するをチェック
  • 次のDNSサーバーのアドレスを使うをチェック、アドレスに指定されたオンライン資格確認ネットワーク用のDNSアドレスを設定

IPv6の回線への設定はこれだけです。あとは証明書のインストール、関連ソフトのインストール、Edgeのインストールと設定、プラグインの導入などをマニュアルにしたがって行います。

資格確認端末には要求ファイルを書き込むフォルダ(reqという名前にしました。名前はなんでもいいです。)と結果ファイルが書き込まれるフォルダ(res)を作り、その2つを共有フォルダとして公開します。カルテメーカーのサーバーで、この2つのフォルダをマウントして読み書きできるようにします。これらの設定はIPv4ベースで行います。

これで無事に動き出すはず。確かに動作は確認できました。でも、なんだかとても不安定。オンライン資格確認のネットワークに繋がったり切れたり安定しません。

何故に不安定?

数日悩んで閃きました!デフォルトゲートウェイだ!!

デフォルトゲートウェイとは、インターネットやオンライン資格確認とかの外への通信をするための玄関みたいなものです。外への通信経路は今設定したIPv6のはずです。IPv6のデフォルトゲートウェイは自動的に設定されています。

と同時にIPv4はファイル共有のため院内LANの通信経路と利用していますが、こちらもインターネットに接続しているので、IPv4用のデフォルトゲートウェイが自動的に設定されています。

そうです、この資格確認端末には外への玄関が2つ同時に存在していて、優先順位が同じなので、資格確認のアプリケーションはその時々に応じてランダムに通信経路を選択していたのです。たまたまIPv6側が選ばれれば正常に動作し、IPv4が繋がると送信先がなくてエラーになるというわけです。

というわけで、IPv4のデフォルトゲートウェイを無効化します。ただIPv4アドレスの取得を自動にしたままデフォルトゲートウェイを無効化できないので、手動設定にして無効化します。

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン4(TCP/IPv4)を選択→プロパティを開いて

次のIPアドレスを使うを選択。IPアドレスとサブネットマスクを設定。デフォルトゲートウェイは空欄のまま

これで安定して通信できるようになりました。

げっ、他のPCにもIPv6のアドレスが割り振られてる!

安定して気持ちよく接続試験をしていて、ふと気になって関係ないPCのIPアドレスを確認してみると、IPv6アドレスが振られてる!!!

考えてみたら当たり前ですよねぇ。IPv6が有効なら、自動的に割り振られるのがIPv6です。IPv4もそうですけど、でもIPv4と違ってIPv6はグローバルアドレス。使ってないのに割り振られるのはなんとも気持ち悪い、HGWで阻止しているとはいえ必要ないなら振ってほしくはない。というわけで次のように設定して無効化します。

PC:
コントロールパネル→ネットワークと共有センター→アダプターの設定の変更→ネットワークを選択して右クリック・プロパティを選ぶ→インターネットプロトコルバージョン6(TCP/IPv6)のチェックを外す。

Mac:
システム環境設定→ネットワーク→ネットワークを選択して詳細...→TCP/IPのタブを選択→IPv6の設定を「リンクローカルのみ」にする。

これでPCもMacも安全。と思ってiPadとiPhoneをみると...こっちにもorz

続く...

 

 


 

歯科電子カルテシステム・カルテメーカーは月額15,000円
MacとWinの両方で利用可能、介護保険対応にも対応してます。

 

カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。

 

 

 

 

 

|

« 歯式メーカー アップデート | トップページ | オンライン資格確認 院内ネットワーク構成例 その2 »

パソコン・インターネット」カテゴリの記事

カルテメーカー」カテゴリの記事

オンライン資格確認」カテゴリの記事

コメント

電子処方箋関連の資料サイトを良くまとめられているので、先日から参考にさせていただいています。
その中で偶然この記事にたどり着いたのですが、たしかにこれで接続できると思います。
ただ、ONS等の資料によれば、院内にルータA/Bを用いて、院内ネットワークとオン資端末ネットワークを完全に分離するように求められているかと思います。
IP/V6だから、だけでは遭遇されたトラブルのように、どうしても混在してのトラブルは防げません。
ルータ一台でもヤマハなどポートVLANが出来る機種で分離する(NTTデータなど多くの企業がこのやり方をしています)で分離するなどの方向を、合わせてご紹介されてはいかがでしょうか。

個人接続であれば気にならないのですが、メーカーの技術者としてサイトを作られているようですので、おせっかいながら書き込みをさせていただきました。

投稿: おやぢ | 2022年10月 5日 (水) 13時02分

ご心配ありがとうございます。
もちろん、ネットワークを分離する方法についてもガッツリ解説してます。この直後の記事「オンライン資格確認 院内ネットワーク構成例 その2」、実際の運用にあたっての分離方法「ライン資格確認システムの導入方法(その16〜18)」で解説してます。もちろんIPv6に対しても、家庭用機器で厚労省の要求される水準でセキュリティを確保できますので、是非、お読みになってください。
電子処方箋に関しても、その電子署名方法等に関して詳細な記事をあげてますので、是非、ご覧ください。

投稿: カルテメーカー | 2022年10月 5日 (水) 13時33分

コメントを書く



(ウェブ上には掲載しません)




« 歯式メーカー アップデート | トップページ | オンライン資格確認 院内ネットワーク構成例 その2 »