前回までの設定で問題なくオンライン資格確認システムは運用されていると思います。
このままの状態で運用を継続しても実際上何か問題があるわけではないのですが、セキュリティガイドラインに「レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化」が必要とされているので、念のためそれをしておきましょう。
それって何?
ところで、「レセプトコンピュータ等から資格確認端末への通信を許可し、資格確認端末からレセプトコンピュータ等への通信を拒否するためのステートフルインスペクション機能の有効化」とはどういうことでしょう。
「レセプトコンピュータ等から資格確認端末への通信を許可」というのは、以下の図の青い通信、電子カルテから通信をはじめてオンライン資格確認端末がそれに応えて返信を返す通信は許可するということです。逆に「資格確認端末からレセプトコンピュータ等への通信を拒否」というのは、赤い通信、オンライン資格確認端末から通信をはじめて電子カルテ側がそれに応える通信は遮断するということです。
外部に接続しているオンライン資格確認端末は、何らかの攻撃を受けて乗っ取られたりウイルスを仕込まれた可能性があります。そんな時でも電子カルテ側に攻撃が及ばない様にするためのセキュリティ対策として、この通信方向の制限をします。
ここで単純に通信方向だけを制限すると一方的な通信となりそれでは意味がありません。そこでどの様に通信がはじまって、一連の通信が問題なく行われているかを常時監視して、通信方向を制限する仕組みが「ステートフルインスペクション機能(SPI)」と呼ばれるものです。
大袈裟な名前がついてますが、インターネットにつなげる時に使うブロードバンドルーターでは大概の機種で最初からこの機能が有効化されています。また、同時に「アドレス変換、IPマスカレード」という機能も同時に有効化されています。こちらは本来の目的は違うのですが結果として「ステートフルインスペクション機能(SPI)」と同じ様な通信制限がかかりますので、この2つの機能で目的のセキュリティを達成することができます。
どこに設置するの?
ということで、さっそくブロードバンドルータを新たに用意してネットワークに組み込みましょう。では、具体的にどこにブロードバンドルータを接続するのでしょうか。
以下の図は、オンライン資格確認システムの院内のネットワークの構成例です。この図の「ルータA」というところにブロードバンドルータを設置します。
医療機関・薬局への導入におけるオンライン資格確認等システムとの接続に係るネットワーク連携のパターンの参考例より
とはいっても、この図は一般的な状況を説明するための図なので、ごちゃごちゃしててわかりづらいと思いますので整理した図が次の図です。
連載に従って設定した場合は、左の状態になってます。HGW(ブロードバンドルータ)直下にオンライン資格確認端末も電子カルテ(院内LAN)も接続されています。
セキュリティガイドラインに従って通信方向を制限するには、右図のように「ルータA(新しいブロードバンドルータ)」を「オンライン資格確認端末」と「電子カルテ(院内LAN)」の間に設置します。そして、設置した「ルータA」に通信方向を制限するための設定をおこなうこととなります。
ここで注意して欲しいのは、実際の作業では少しイメージが違うということです。
実際の作業では、まず、HGWに繋がってるオンライン資格確認端末以外のケーブルを抜き、HGWに新しいブロードバンドルーターを接続し、外したケーブルをこの新しいブロードバンドルータに接続するという感じになります。WiFiもHGWではなく、この新しいブロードバンドルーターにつながる様に切り替えます。ブロードバンドルータをオンライン資格確認端末と電子カルテの途中に入れるからといって、オンライン資格確認端末に接続したケーブルを抜き差しするわけではないことに注意してください。詳しくは後述します。
ネットワークの分離
通信方向を制限するための「ルーターA」を設置すると、通信方向の制限がかかるだけでなく、必然的にルータを境にネットワークが分離されます。
というのも、ルータとは本来、別々のネットワークを相互につなげるための装置だからです。ですので、ルータをいれて正しく動作させるためには、ネットワークを分離しないといけないのです。
ネットワークを分離というのは、具体的にはIPアドレスが変更になります。同一のネットワークかどうかはIPアドレスの先頭のいくつかの数字が同じかどうかで判断されます。リアルな世界の住所で、同じ地域といっても、それが同じ県なのか同じ市町村なのか、同じ町名なのかと
地域の広さのレベルに合わせて先頭からの表記がどこまで同一なのを同一の地域とみなすかと同じ様に、IPアドレスも先頭からのいくつ目までの数字が同じかどうかは利用するネットワークの規模によります。
このネットワークの範囲を表すのが「サブネットマスク」です。ルータの設定時に設定するこのサブネットマスクでどの範囲を同一のネットワークとみなすかが決定されます。簡単にいうと、サブネットマスクで「FF」あるいは「255」と書いてあるところまでが同一なら同じネットワークで、その範囲の数字が違ってる場合は、別のネットワークになります。多くの場合、上3つが同じパターンがです。まれに上の2つだけという場合がありますが、その場合は上2つの数字だけで判断します。
同じネットワークの中のコンピュータは物理的に繋ぐだけで通信ができるようになりますが、違うネットワークのコンピュータは単純に繋いだだけでは通信できません。この2つの別々のネットワークを繋いで、通信できるように橋渡しするのが「ルータ」です。そして、その橋渡しの時に通信内容を監視して安全を守るのです。いわばルータは門番のようなものですね。
実際にネットワークを分離した時にIPアドレスをどのように変更するかが、次の図になります。
分離した場合、いままで同一のネットワークであった「192.168.1.xx」が「192.168.20.xx」と「192.168.1.xx」の2つに分割されます。とはいっても導入すれば勝手にこのようなアドレスに分割されるわけではありません。ちゃんと設定してこのような感じに分割されるようにしなくてはいけません。
IPアドレスの決定方法
では、このようにアドレスを変更するにはどうしたらいいでしょうか。それを知るには個々のコンピュータや装置がどのようにIPアドレスを決めるのかを理解する必要があります。
IPアドレスは「自動で決定」する方法と「手動で設定」する方法のどちらかで決めます。
「自動で決定」する方法は、「DHCPサーバーで自動設定」と言われるものです。「DHCPサーバー」はルーターに組み込まれた機能です。どのようにIPアドレスを配布するかをルーターを操作して設定します。それぞれのコンピュータはルーターに接続する時にIPアドレスが自動的に決まります。
一方、「手動で設定」する方法では、文字通り、ぞれぞれのコンピュータを手動で操作してIPアドレス、サブネットマスク、デフォルトゲート、DNSサーバーなどの設定を行うものです。
両者は同一のネットワーク内で混在できます。IPアドレスが重複しないように設定すればなんら問題ありません。「DHCPサーバーで自動設定」の場合、設定は簡単ですが、長期の停電、今回のようなルータの変更によりIPアドレスが変わってしまうことがあります。ですので、名前でコンピュータを識別するとかIPアドレスが変化しても問題ない場合に使われます。一方、「手動で設定」する方法はどんな場合でも変化はしませんので、IPアドレスが変わってしまうと困る場合などに使われます。デジタルX線装置やそのビュワーなどはこの設定の場合が多いですね。ですが、この自動的に変わらないことが、今回のようにネットワークを分離する場合に障害となります。分離した際にネットワークの上位3つの数字が異なるなる場合、この「手動で設定」する方法の装置はすべて、またもう一度手動で設定し直さないといけなくなります。
院内LAN側に「手動で設定」する方法の装置が存在する場合、院内LAN側のIPアドレスを分割前のIPアドレスと同じにすると「手動で設定」した機器のアドレスを変更する必要がなくなります。具体的には次の方法で設定をします。
ルータを導入する前は、HGWの中のDHCPサーバーの設定に従ってIPアドレスが決定されてました。ですので、このHGWの中のDHCPサーバーの設定を新しく導入したブロドバンドルータのDHCPサーバーの設定にします。この例でしたら、HGWのDHCPサーバーは192.168.1.2からIPアドレスを配布してましたので、同じように新しいブロードバンドルータのDHCPサーバは、192.168.1.2からIPアドレスを配布する設定にします。
一方、今まで使ってたHGWの中のDHCPサーバーの設定は新しく、192.168.20.2からIPアドレスを配布する様に設定を変更します。また、オンライン資格確認端末はこの連載ではIPアドレスを「手動で設定」していましたので、手動で新しいアドレス「192.168.20.83」等に変更することになります。
全部の機器が自動設定の場合は、HGW側の設定を変更する手間を省くために、院内LAN側に新しいIPアドレスを設定してしまったほうが簡単でしょう。この場合、HGWの設定、オンライン資格確認端末の設定は変更しません。新しく設置するブロドバンドルータのDHCPサーバーの設定を新しいIPアドレス例えば、192.168.20.2から始まるように設定します。
ルータとブロードバンドルータの違い
今までの話ではルータとブロードバンドルータを特に区別することなく使っていますが、実は両者は異なります。
ブロードバンドルータとはインターネットに接続するように特化されたルータことで、単にルータと言った場合はもっと広くいろんなネットワークを相互につなげる装置ということになります。
今回のように同じ種類のネットワークをつなげる場合、本来なら一般的な「ルータ」を使うのですが、「一般的なルータ」というのは名前に反して一般の消費者が扱うものではありません。プロのネットワーク事業者が扱うもので、非常に自由度が高くあらゆる状況に対応して柔軟な設定ができますが、その反面、非常に高度な知識と操作スキルが要求されますし、お値段も最低でも量販店で買えるブロードバンドルータの10倍くらいします。機能も性能も非常に高いですが、完全にオーバースペックです。
というわけで、今回はどこでも買える「ブロードバンドルータ」を使って目的を達成することにします。
ブロードバンドルータはインターネット用ということで、いろいろと制約はありますが必要な機能が最初から組み込まれ有効化されています。一番重要な目的である「ステートフルインスペクション機能の有効化」などはインターネットからの攻撃を防ぐという意味で最初から有効化されていますので、今回の目的にはまさにおあつらえむきです。
ただ、インターネット用ということでステートフルインスペクション機能の制限方向が固定化されています。インターネット側(WAN側)からの通信を拒否して、内側(LAN側)からの通信だけを通すようにようになってます。なので、今回の場合は必ずWAN側がオンライン資格確認端末で、LAM側が電子カルテ(院内LAN)になります。
では次から具体的な設定手順を解説していきます。
全体の流れは次のようになります。なお、現在の歯科医院の環境ではデジタルX線装置のような固定IPがネットワークに存在する可能性が高いので、院内LAN側のIPアドレスを変更しない方法を最初に解説していきます。
- 現在のDHCPサーバの設定を確認する
- 新しく導入するブロードバンドルータの事前設定をする
- 電子カルテ(カルテメーカー)のオンライン資格確認機能を一時的に停止する
- HGWのLAN側の設定を変更する
- 設定済みのブロードバンドルータを組み込んで配線をつなぎ直す
- IPアドレス変更に伴う、各種機器の設定の修正をする
- オンライン資格確認端末のIPv4の設定を変更する
- 電子カルテ側のパソコンのファイル共有の設定を修正する
- 電子カルテ(カルテメーカー)のオンライン資格確認関係の設定を修正する
といったような流れになります。
小目標60: 現在のDHCPサーバの設定を確認する
まずは、現状の把握です。導入する新しいブロードバンドルータには、現在使ってるHGWあるいはブロードバンドルータのDHCP設定を設定することとなりますので、現状の設定情報を調べて記録しておきます。
ホームゲートウェイ(HGW)/ひかり電話ルータの場合
*ひかり電話をご利用の場合、あるいはひかり電話を使わないがNTTからホームゲートウェイ(HGW)をレンタルされている場合です。
管理画面を、ホームゲートウェイ(HGW)/ひかり電話ルータの説明書の従って開いてください。開く時に使うコンピュータは使い慣れたいつものコンピュータがいいでしょう。
一般的には次のように操作します。
- お使いのコンピュータ(インターネットに繋がってるコンピュータ)のIPアドレスを調べる。通常はそのIPアドレスの最後の数字を「1」にしたものが、ルーターのアドレスになります。もし、これが違っている場合は、デフォルトゲートウェイのアドレスがそれです。
- 192.168.1.6なら192.168.1.1が管理画面のアドレス
- お好きなブラウザ(IE、edge、safari、Chrome)を起動してアドレス欄に「http://192.168.1.1」のようにいれてリターン
- ユーザーネームとパスワードの入力画面になりますで、それを入力。説明書、添付書類、機器のシール等に書いてあるはずです。
- 正しく入力すると、通常はIPv4の設定画面が表示されるかと思います。(機器によって違います)
続けて次のように操作します。
左のメニューから、詳細設定→DHCPv4サーバ設定 と選択
IPアドレス/ネットマスク
LAN側IPアドレス 例の場合192.168.1.1
サブネットマスク 例の場合255.255.255.0
DHCPサーバ
開始IPアドレス 例の場合192.168.1.2
割当個数 例の場合 64
以上の項目をメモしておきます。(スクショでもいいでしょう)
ブロードバンドルーターの場合
*ひかり電話を契約していないで、一般的なブロードバンドルーターを接続している場合です。
管理画面を、ブロードバンドルーターの説明書の従って開いてください。開く時に使うコンピュータは使い慣れたいつものコンピュータがいいでしょう。
一般的には次のように操作します。
- お使いのコンピュータ(インターネットに繋がってるコンピュータ)のIPアドレスを調べる。通常はそのIPアドレスの最後の数字を「1」にしたものが、ルーターのアドレスになります。もし、これが違っている場合は、デフォルトゲートウェイのアドレスがそれです。
- 192.168.1.6なら192.168.1.1が管理画面のアドレス
- お好きなブラウザ(IE、edge、safari、Chrome)を起動してアドレス欄に「http://192.168.1.1」のようにいれてリターン
- ユーザーネームとパスワードの入力画面になりますで、それを入力。説明書、添付書類、機器のシール等に書いてあるはずです。
- 正しく入力すると、設定の最初のメニュー画面になります。(機器によって違います)
以下はBuffaloのWSR-1166DHLPL2というブロードバンドルータを例にしています。違う機種の場合でも似た様な項目がありますので、そのデータをメモしてください。
続けて次のように操作します。
詳細設定のボタンを押します。
左のメニューから、LAN→LAN と選択
LAN側IPアドレス
IPアドレス 例の場合192.168.11.1
サブネットマスク 例の場合255.255.255.0
割り当てIPアドレス
開始IPアドレス 例の場合192.168.11.2
割当個数 例の場合 64
以上の項目をメモしておきます。(スクショでもいいでしょう)
小目標61: 新しく導入するブロードバンドルータの事前設定をする
次に新たに購入したブロードバンドルータの設定をしていきます。なお、以下の例ではBuffaloのWSR-1166DHLPL2というブロードバンドルータを使っています。Buffaloなら違う機種でもほぼ操作は同じでしょう。違うメーカーの場合は似た様な機能を説明書から探してみてください。
まずは単独で設定をはじめます。WSR-1166DHLPL2に電源だけつなげて起動します。
適当な(使い慣れた)コンピュータをこのWSR-1166DHLPL2に接続して設定します。お勧めはWiFiでの接続です。コンピュータのWiFiの設定で、WSR-1166DHLPL2のSSIDのWiFiを選択し、暗号化キーを入力して接続します。有線の場合は、WSR-1166DHLPL2のLAN側コネクタ(LAN1など)にケーブルを差して、それをお使いのコンピュータに接続してください。
この時、この接続以外の接続は必ずケーブルを抜くなどして切断しておいてください。例えばWiFiでこのWSR-1166DHLPL2に接続した上で、有線で既存のネットワークに接続している場合など、このケーブルを抜いて接続を切ってください。
はじめて接続した時には次のような画面が表示されます。この画面の下の方にWSR-1166DHLPL2の管理画面のアドレス(この場合192.168.11.1)が表示されていますので、これをメモしたら閉じちゃってください。
次にお好きなブラウザ(EdgeとかSafariとかChromeとか)を起動し、アドレス欄に「http://」に続けて先ほどのアドレスをいれて(http://192.168.11.1)リターンを押すとログイン画面になります。(Buffaloは初期状態では192.168.11.1が管理画面です。)
ユーザー名とパスワードは、機器の下に書いてある「本機ログイン用」と書かれたとこにあるユーザー名とパスワードになりますので、これを入力します。
管理画面のホームページが表示されるので、右下の詳細設定のボタンを押して詳細設定画面にします。
WAN側(インターネット側)の設定
左のメニューから Internet→Internet と選択
「DHCPサーバーからIPアドレスを自動取得」を選択
「設定」ボタンを押して設定。ウエイト画面になりますので設定が有効になるまで待ってください。
アドレス変換が有効かどうかを確認
左のメニューから Internet→アドレス変換 と選択
表示された画面で「アドレス変換」で「使用する」にチェックが入っていることを確認
もし入っていなければ、チェックして「設定」ボタンです。
この設定でステートフルインスペクション機能(SPI)も有効になります。
IPv6の設定
インターネットへの接続がIPv6(IPoE接続)の場合は、IPv6の設定をしておかないとIPv6での通信ができなくなります。IPv4での通信は可能ですのでこれを設定しなくとも繋がることはつながるのですが、せっかくのIPv6のメリットが活かせなくなりますので、必ず設定してください。また、これを設定することで、IPv6でもIPv4と同じ様なステートフルインスペクション機能(SPI)が有効になりオンライン資格確認側からの攻撃を防ぐ様になりますのでので、忘れずに設定してください。
インターネットへの接続が従来通りIPv4(PPPoE接続)の場合も、この設定をするのですが、この場合は、IPv6を遮断するようにしてください。無用な通信をしないためと確実にオンライン資格確認側からの攻撃を防ぐためです。
左のメニューから Internet→IPv6 と選択
IPv6で接続されている場合は、表示された画面で「NDプロキシを使用する」を選択
IPv4で接続されている場合は、表示された画面で「IPv6を使用しない」を選択
「設定」ボタンを押して設定を完了します。
LAN側の設定をする
次にLAN側の設定です。ここでLAN側のIPアドレス、DHCPサーバの設定をするのですが、この設定をするとWSR-1166DHLPL2が再起動し、WiFiやネットワークが遮断され、IPアドレスが変わるのでブラウザとの接続が切れます。設定する内容を間違えると再接続ができなくなりますので、慎重に行ってください。
左のメニューから LAN→LAN と選択
表示された画面で「小目標60: 現在のDHCPサーバの設定を確認する」でメモしたHGWでのLAN側アドレス、DHCPの設定を同じように設定します。
LAN側IPアドレス
IPアドレス 例の場合192.168.1.1
サブネットマスク 例の場合255.255.255.0
DHCPサーバー機能は使用するにチェック
割り当てIPアドレス
開始IPアドレス 例の場合192.168.1.2
割当個数 例の場合 64
この時設定する値は何度もチェックしてください。間違うと面倒なことになります。
「設定」ボタンを押すと次の画面が表示されます。
もう一度「設定」ボタンを押すとWSR-1166DHLPL2が再起動します。WiFiが切れ接続が切れますが、焦らず、再起動し安定するのを待ってください。
確認
再起動を確認したら、WiFiを繋ぎなおします。WSR-1166DHLPL2のSSIDのWiFiを選択します。今度はキーの要求はなく接続できるはずです。
WiFiが接続できたら、ブラウザを起動して、LANの設定で設定した新しいIPアドレス(この例では192.168.1.1)でWSR-1166DHLPL2にアクセスします。例の場合であれば「http://192.168.1.1」といれれば、ログイン画面が表示されるはずです。
先ほどと同じ要領で、ログインしてください。そして同じ様に右下の詳細設定のボタンを押して詳細設定画面にします。
通常ならこの操作で ステータス→システム の画面が最初に開くのですが、もし違うようでしたら、左のメニューから ステータス→システム と操作してステータス画面にしてください。
この画面で設定が正しいかどうか、今一度チェックしてください。特にLANのIPアドレスが現在のHGWに設定されたLAN側のIPアドレスと一致していることを確認してください。
確認が終わったら、WSR-1166DHLPL2との接続を切り、お使いのコンピュータを元のネットワークに戻しておきましょう。設定の完了したWSR-1166DHLPL2は、電源を落としておきます。
記事が長くなってしまったので、一旦ここで区切ります。続きはオンライン資格確認システムの導入方法(その17)で。
歯科電子カルテシステム・カルテメーカー は利用料月額16,500円(税込)
MacとWinの両方で利用可能な電子カルテです。介護保険にも対応してます。
カルテメーカーの詳細はカルテメーカー・ホームページまで。
カルテメーカーを実際に動かしてみたいときは評価版をダウンロードできます。