オンライン資格確認システムの導入方法(その15)
前回までの設定で、ひとまず運用できる状態になったと思います。ですがインストールしたソフトウェアはどれも少々古いバージョンですので、アップデートが必要です。オンライン資格確認等システムでは専用の自動更新アプリケーション(配信アプリケーション)で関連するアプリケーションやデータの更新を行います。今回はこのアプリケーションのインストールを中心に解説していきます。
小目標56: プロキシーサーバーの設定
最近はあまり聞かなくなりましたが「串を刺す」とか「串を通す」という設定です。「串を通す」という表現はIPアドレスを偽装するとか隠蔽するとかの少々ネガティブな意味合いで使う隠語ですが、今回の設定は同じ設定でもちょっと違う意味合いで、ネットワークに串を通して穴を開けてインターネットに接続させる設定です。
「串」は「プロキシー(proxy)」の意味で、まぁ「XY」の発音が「クシー」なのでってことなのですが。要は通信をプロキシーサーバーというサーバーを介在させて違うネットワークに接続させているのです。なんで、こんな面倒なことをしているかというとWindowsOSのアップデートのためです。
Win10 LTSCといって基本的には機能が固定されたOSですが、セキュリティーの強化やバグの修正などのため普通のWin10と同じようにウインドウズアップデートが必要になります。アップデートはマイクロソフトのダウンロードサイトから必要なアップデートをダウンロードしてくるのですが、これらのサーバーはインターネット上にあります。ところがオンライン資格確認端末が接続されている閉域IP-VPNはインターネットに接続されていません。このためこのままではOSのアップデートができません。
そこで登場するのが「プロキシーサーバー」です。プロキシーの本来の意味は「代理」で、今回の場合は、マイクロソフトのサイトの代理としてプロキシーサーバーがアップデートのための資産を配信するようになります。
OSレベルでプロキシーサーバーを指定すると全ての外向きの通信は、そのプロキシーサーバーに送られるようになります。ですので、ただ設定しただけでは、オンライン資格確認等システムへの通信や証明書のダウンロードなどの本来の目的のための通信もプロキシーに送られてしまいます。そこで例外の送り先を設定して通信先を切り分けるようにするのが、この小目標での設定となります。
なお、このプロキシーはウインドウズアップデート関連の通信以外はインターネットにつながっていませんので、一般的なインターネットの利用はできません
設定の操作は、マニュアル「医療機関等向けセットアップ手順書(資格確認端末編)1.17版」(以下セットアップ手順書と略)に従って操作していきます。
セットアップ手順書の「3 Windowsの設定を変更する(配信アプリケーション準備等)」の「プロキシサーバーを設定します」(P.11〜13)に従って操作をしてください。
「配信拠点起点」です
マニュアルの囲みの部分がよくわからないと思いますが、今回の設定では「配信拠点起点」の構成を行います。ですので必ず⑤の設定をします。
⑤の「proxy.base.oqs-pdl.org」がプロキシーサーバーのことです。「8080」のポート番号とともに正しく入力してください。
除外するエントリーはこれ
「次のエントリで始まるアドレス以外にプロキシサーバーを使います。」に入力する時は次の文字列をコピペするといいでしょう。入力欄がとても狭いので直接入力しようとすると間違います。また途中に改行やスペースがはいるとダメですのでそれも注意してください。
*.onshikaku.org;*.flets-east.jp;*.flets-west.jp;*.lineauth.mnw;*.obn.managedpki.ne.jp;*.cybertrust.ne.jp;*.secomtrust.net;*.rece;pweb.base.oqs-pdl.org
どれもネットワークの設定の時にIPアドレスを確認した先になります。これらの通信先はプロキシーサーバーを通さないで通信するようにするためにこの欄に登録するわけですね。
ブラウザ以外にも有効にする
実は⑤の設定は、IEやEdgeのようなインターネットブラウザに対しのみ有効な設定になります。OSのアップデートやオンライン資格確認等システム用の様々なアプリケーションに対しては有効ではありません。そこで7〜11の手順で、プロキシーの設定をコンピュータ上のすべてのアプリケーションで有効にします。
netsh winhttp import proxy source=ie ⑤の設定をシステムにインポートするコマンドです。
netsh winhttp show proxy 設定内容を表示するコマンドです。
動作を確認
11で表示された文字列を検証するだけでなく実際の動作も確認します。
設定後、マイナンバーカードによる受付、電子カルテからの資格確認が正しく動作することを確認します。動作がおかしい場合は、「次のエントリで始まるアドレス以外にプロキシサーバーを使います。」に設定した文字列が間違っています。もう一度5から11をやり直してみてください。
ここまで正しく動作したら念のため再起動して動作を確認してください。
確認
文字列が正しく、また正常動作を確認できれば、「小目標56:プロキシーサーバーの設定」はクリアです。
小目標57: WindowsUpdateのための設定をする
次にWindowsUpdateのための設定をします。運用形態により2つの設定のうちどちらかを選びます。
マニュアルではコンピュータの電源を「手動」でおこなうか「自動」で行うかという選択になってますが、「手動」は始業前に電源を入れて終業とともに電源を切るような運用のことで、「自動」は24時間コンピュータの電源を入れたままの運用のことです。
歯科医院での運用ではほぼ「手動」だと思いますので、基本的にはセットアップ手順書の「3 Windowsの設定を変更する(配信アプリケーション準備等)」の「WindowsUpdateのアクティブ時間を設定します」(P.20〜21)に従って操作をしてください。
することはタイトル通りにアクティブ時間を設定することです。アクティブ時間を設定することで悪名高い自動更新が診療時間内に発生することを抑制します。
なお現在はアクティブ時間を自動的に設定するオプションは無効になっている場合があります。この場合、マニュアルの⑤の画面は表示されませんが問題ありませんのでそのままアクティブ時間を設定してください。
24時間運用の場合は、「再起動スケジュールを追加します」(P.16〜18)と「WindowsUpdateの自動化を設定します」(P.18〜20)の両方の設定をします。少々面倒ですがマニュアル通りの設定をすれば4時に再起動し、6時にもう一度再起動してアップデートを実行するようになりますので、診療時間内での更新処理は発生しなくなります。
確認
「手動」の場合は設定が終われば、「自動」の場合は翌日にOSのログイン画面が表示されていれば、「小目標57:WindowsUpdateのための設定をする」はクリアです。
小目標58: 配信アプリケーションのインストール
次にオンライン資格確認等システムに関連するアプリケーションやデータを自動的にアップデートする「配信アプリケーション」のインストールと設定をしていきます。
セットアップ手順書の「11 配信アプリケーションをインストールする」(P.32〜37)に従って操作します。
使うファイルは「OQSDistroApp_v1.0.15.zip」
マニュアルではいきなり「OQSDistroApp.msi」をダブルクリックから始まってますが、このファイルは「OQSDistroApp_v1.0.15.zip」の中にあります。ダウンロードした「OQSDistroApp_v1.0.15.zip」をダブルクリックして開くと「OQSDistroApp.msi」がありますので、これをダブルクリックしてインストールを開始してください。
現在の状況ではインターネットに接続されていないので、起動時に「SmartScreenに接続されていません」と警告がでますが「実行」を押して継続してください。
ウィザードに従ってインストールが完了すればデスクトップにショートカットができますので確認してください
「配信拠点起点」です。
大事なことなので二度言います。「配信拠点起点」なので、p33の右側からp34の左側までの「ネットワーク事業者起点の構成 又は医療機関等起点の構成の場合のみ実施」は飛ばします。
間違って操作してしまった場合は、「接続する配信サーバー」を「配信拠点(推奨)」に戻しておいてください。
ぼーっと操作してるとそのまま設定を変えてしまうんですねぇ。私もやってしまって配信サーバーに繋がらないので原因を特定するのに時間がかかってしまいました。検証時につながらない場合はまず最初にここをチェックしてみてください。
「タスクの登録」は行う
p34の左側からの「タスクの登録」は行います。連携アプリケーションのインストール時におこなったのと同じような感じで行います。今度はマニュアルのスクショも正しいので、マニュアル通りに実行すればタスクの登録は完了します。
正しく登録されれば、連携アプリケーションで登録したタスクの下に「OQS_exec_distroappstart」というタスクが追加されます。
忘れずに再起動
配信アプリケーションの起動には再起動が必要です。忘れずにコンピュータを再起動しましょう。
確認
デスクトップにショートカットが表示され、タスクが正しく登録でき、再起動したら、「小目標58:配信アプリケーションのインストール」はクリアです。
小目標58: 配信アプリケーションの動作試験
インストールが完了したら動作試験です。セットアップ手順書の「11 配信アプリケーションをインストールする」の「(4)動作試験」(P.36)に従って試験を行います。
「配信実績の確認」がうまく表示されない場合は囲み記事のように3つの原因がありますが、この記事までの動作が問題なければ、一番怪しいのはタスクの登録ですので、それが確実に行われているかを確認してください。
最後の「配信サーバーへの接続確認」をしても「接続失敗」と表示される場合は「配信アプリケーションの確認について」というドキュメントを参照するようになってますが、わかりにくいものなので、以下のポイントをチェックしてください。
プロキシーサーバーが正しく設定されているか
「小目標56: プロキシーサーバーの設定」を確認して
プロキシーサーバーのアドレスとポート番号が正しいか?
除外するエントリーは正しいか?
除外するエントリーが正しくシステムにコピーされているか?
を確認してください。
「配信拠点起点」になってるか
「設定の変更」ボタンを押して、「接続する配信サーバー」が「配信拠点(推奨)」になってることを確認してください。
フレッツ・v6オプションが申し込み済みか
ここまでの設定では「フレッツ・v6オプション」の申し込みが済んでいなくても動作してしまいます。ですが、アップデート用の配信サーバーには、この「フレッツ・v6オプション」を申し込んでいないと接続できません。「オンライン資格確認システムの導入方法(その2)」を参考にもう一度確認してください。
タスクは正しくインストールされているか
「小目標58: 配信アプリケーションのインストール」でタスクが正しくインストールされてリストに表示されていることを確認してください。また、タスクは再起動しないと有効化しませんので、今一度再起動も試してみてください。
確認
「配信サーバーへの接続確認」を押して「接続成功」と表示されたら、「小目標58:配信アプリケーションの動作試験」はクリアです。
小目標59: アップデートを行う
ここまで正しく設定が終わっていれば、数日運用していると自然とアップデートされていきます。顔認証アプリのバージョン表示が変わっているのでわかるかと思います。
詳細なアップデート結果を見るには「オンライン資格確認配信アプリケーション管理ツール」をダブルクリックして起動し、「配信実績の確認」を押してください、アップデートの結果が表示されます。
強制アップデート
「今すぐダウンロード」ボタンを押して強制的にアップデートも可能です。ただし、押したからといってすぐにダウンロードははじまりません。ダウンロードの予約がなされるだけです。その後サーバー側のスケジューリングにより順次ダウンロードがはじまります。ダウンロード時のプログレスバーなどの表示は一切でませんので具体的にいつダウンロードされているのかを確認する方法はありません。そのため、ボタンを押してすぐに再起動したりすると正しくアップデートできません。マニュアルではボタンを押した後20分はそのままにしてくださいと記載されていますが1時間くらいは放置した方がいいです。混雑している時はそれでもダウンロードされないので1日程度は気にせず運用していてください。気がついた時にはアップデートされているはずです。
アップデートは基本的に再起動後有効になります。新しいバージョンのオンライン資格確認配信アプリケーション管理ツールではダウンロードが完了すると「再起動するとアップデートされます」というダイアログが表示されますので、適宜、昼休みや終業時に再起動してアップデートを行なってください。
Windowsのアップデート
WindowsUpdateも自動的におこなわれます。ただしなぜか月の半分しかサービスが行われていないので、「更新とセキュリティ」から更新状態をみると度々エラーが報告されているかと思いますが、気にしないで大丈夫です。配信サービスが開始されると自然と更新されていきます。また同じ理由で「更新プログラムのチェック」をすると失敗する時が多いですが、それも単純に配信サーバーが止まっているからですので、気にしないで放置してください。知らぬ間に更新が済んでいます。
確認
「配信実績の確認」を確認してアップデートされていれば、「小目標59:アップデートを行う」はクリアです。
以上で、アプリケーション等のインストールは完了です。運用も普通にできる状態になりました。
現実的にはこの状態でも問題はないのですが、ガイドライン的には、このオンライン資格確認端末を電子カルテ等のネットワークから分離することが求められています。次回からは、このためのネットワークの再構築の解説をしていきます。
歯科電子カルテシステム・カルテメーカー は利用料月額16,500円(税込)
MacとWinの両方で利用可能な電子カルテです。介護保険にも対応してます。
カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。