この研究は平成12年度厚生科学研究(医療技術評価総合研究事業)の「インターネット を活用した医療施設情報の提供と利用の促進及び安全な医療情報流通促進のための個人 情報の取り扱いに関する調査研究」の分担研究として実施したものです。 ・分担研究課題「インターネット利用におけるセキュリティの確保並びに個人情報の保護 の在り方に関する調査研究」 ・主任研究者 大櫛陽一 東海大学医学部 ・分担研究者 辰巳治之 札幌医科大学附属情報センター所長 ・分担研究協力者 花井荘太郎 国立循環器病センター 大山博司 医療法人社団明人会田島病院 三谷博明 日本インターネット医療協議会 <研究要旨> インターネットを利用して個人の医療情報を送受信する際には、扱われる情報が個人を 特定できるものであることが多くなることから、プライバシー保護の観点から、情報の扱 い方に留意しなければならない。今日、個人の医療情報が電子化して記録、保存される機 会が増えてきているが、これらの情報が、ネットワークを介して広域的に容易に伝送され るようになってくると、個人にかかる重要な情報が不用意に漏洩したり、不正に利用され るリスクも高くなってくる。 とりわけ、インターネットにおいては、いわゆるパケット通信というかたちで、データ が不特定経路を伝送されていくため、その途中において、第三者の盗聴行為により、不正 に傍受されたり、改竄されたりする危険がある。また、医療機関内の情報システムが、イ ンターネットに接続されている場合、外部から内部のシステムに侵入し、データを許可な く取得、改竄、消去されたり、保存されている個人情報が不正に利用される恐れがある。 ネットワーク環境におけるセキュリティの確保は、システムの安定運用だけでなく、内 部に保存された個人情報等の機密情報を保護する上でも重要な課題である。 こうした状況を踏まえ、本分担研究では、実際のインターネット利用において、個人情 報を送受信する際、情報暗号化やウェブサイトの認証機能を付与することにより、利用者 の信頼度がどのように変化したかを調査するとともに、医療機関と患者・利用者の間 にお ける暗号化メッセージの送受信システムの実用性を評価、また実際の医療機関のネットワー クシステムにおけるセキュリティ強度を診断分析してみることにした。 <研究目的> 医療情報の安全な流通とその流通促進の為に、医療情報発信のサイト認証や医療相談に おける暗号化が利用者の意識にどのような影響を及ぼすかをアンケート調査し、セキュリ ティを上げたメッセージ交換システムの有用性、使用性を評価する。さらに、安全な情報 提供のために、医療機関の情報提供システムを外部からセキュリティ診断する。 <研究方法> 1 医療機関のウェブサイト認証と医療相談における暗号化に対する利用者意識調査 東京都内にある本研究協力者の病院(田島病院)のウェブサイトにおいては、痛風に関す る医療相談を実施している。利用者は、ウェブサイトの特定のページから、相談事項を自 由に記入し、送信する仕組みになっているが、この時、病院のサーバーと利用者の端 末と の間で、データを送受信する際、SSLによる暗号化を行うことで、データの機密性を確保し た。 また、ウェブサイトの真正性を保障するため、第三者機関による認証を取得し、ウェブ サイト上からも確認できるようにした。その上で、ウェブサイトの利用者対象に、医療系 ウェブサイトやメールによる医療相談への信頼感、セキュリティー、プライバシー保護対 策への感想や他の医療系サイトでの同様の取り組みの必要性についてアンケート調査を行っ た。 参考ページ:http://www.tajima-hospital.or.jp/ 2 医療機関と患者・利用者間でのセキュリティ度の高いメッセージ交換システムの評価 インターネット上で患者・利用者と医療機関が一般にメッセージをやりとりする際、情 報やデータを暗号化し機密性を確保、セキュリティやプライバシーを保護するメッセージ ングシステムを試作運用し、分担研究協力者にその有用性、使用性を評価してもらった。 具体的には、メッセージの送受信に際し、一般の電子メールソフトを使用せず、いわゆ るウェブメールの形態で、ウェブサイト上でメッセージを作成、送信する仕組みを採用し た。 送信者は、IDとパスワードによって指定のホームページにアクセスし、専用のウェブ画 面上で(一般のメール操作画面と同様なもの)セキュアメール・モードを指定し、特定の 相手宛にメッセージ本文や添付ファイル指定して送信する。この際、ログイン用のパスワー ドとは別に、暗号用鍵を生成する為に任意のパスワードを入力しセンターサーバー上に共 通鍵を生成し、メール本文或いは添付ファイルを暗号化する。ブラウザを使うクライアン トとウェブサーバー間はSSL暗号化でデータが伝送され、ウェブサーバーからさらにデー タを格納するリレーショナル・データーベース(RDB)サーバー間はトリプルDESにて暗号 化を行う。本システムの特長は、データの通信路のみを暗号化で保護するだけでなく、セ ンターDBで保管する情報も暗号化で保護している点にあり、システム管理者であっても情 報を参照できない点にある。これによって、送信者・受信者双方の安心感を確保すること ができる。 センターDBに受信者宛のメールが到着したことを、受信者には一般のメーラーを通じて 配信到着の通知を行い、受信者は、指定されたアドレスのページにアクセスし、予め告知 されたパスワードを使って、暗号化されたデータを復号化した。 参考ページ:https://enaa.securesites.com/IMECOS/imecos.html 3 医療機関のネットワークシステムに対する外部からのセキュリティ診断 医療機関のインターネットに接続したネットワークシステムを、比較的大きな規模から、 小さなシステムまでモデル選定して、ISS社のインターネットスキャナーを使い、ネット ワークが潜在的に有している脆弱点(セキュリティホール)の有無に関する診断を行った。 ネットワークパターンは図1にあるようにA、B、C、Dの4つのパターンがあり、それぞれど れに該当するか回答してもらった。なお、今回はネットワークの外部からのリモート診断 につき、外から見えるサービスのみを対象とし、サーバーへのバッファオーバーフロー攻 撃等の、いわゆるサービス不能(Dos)攻撃テストの類いは含まれていなかった。 主な診断項目は次のとおりである。 ・ ポートスキャンによる公開されているサービスの検出 ・ バックドア(トロイの木馬)の検出 ・ インターネットサービス(SMTP,HTTP,FTP等)における弱点の検出 ・ Unixサービス/ Windows共有における弱点の検出 <研究結果> 1 医療機関のウェブサイト認証と医療相談における暗号化対策に対する利用者意識調査 田島病院のウェブサイト利用者より、2月1日より2月28日までに40件の回答を得た。結果は 以下の通りであった。 1.今までに医療系(病院、診療所、病気、健康など)のホームページをご覧になったこ とがありますか? はい いいえ 40 0 2.1ではいと回答された方へ そのホームページの信頼性に不安を感じたことがありますか? はい いいえ わからない 17 15 8 3.今までにインターネット上で医療相談をしたことがありますか? はい いいえ 25 15 4.3ではいと回答された方へー その医療相談でセキュリティーや個人情報の保護に不安を感じたことがありますか? はい いいえ わからない 19 5 1 5.痛風医療相談は、SSLによる暗号化によってセキュリティーを高めていますが、 これ について安心や信頼を感じますか? 感じる 感じない わからない 30 2 8 6.田島病院のホームページにおけるプライバシーポリシー(個人情報保護規定)をご覧 になって安心や信頼を感じましたか? 感じる 感じない わからない 32 0 8 7.認証や医療相談の暗号化、プライバシーポリシーなどで、田島病院のホームページに 信頼感が増しましたか? 増した 変わらない 低下した 40 0 0 8.他の医療機関のホームページや医療相談にもセキュリティー対策や個人情報の保護が 必要だと思いますか? 必要だ 必要ない わからない 39 0 0 その他の意見、感想で以下のような回答があった。(回答文のまま記載) ※インターネットを利用する場合出来るだけ個人情報(氏名、住所、電話番号)などを記 入しないように心がけています。 ※インターネットやメールを利用している以上セキュリティーの不安がいつもあります。 ※ベリサインのことなどはよくわかりませんが、安心して情報などをかける点は良いと思 います。 ※ハッカーやメールでのなりすましなどは、今後も予想されます。 ※今まで医療機関だ、と言うだけで無条件に安心しきっていた感がありました。でも医療 機関のホームページの方からこういった問題に積極的に取り組んでいただけたと言う 点で 自分の認識の甘さを改めて自覚することが出来ました。 ※ホームページは、その病院の診療内容や専門がわかり病院を選ぶときの非常に有効な判 断材料になります。 ※痛風などもそうですが、重い病気の場合医療相談は特に個人情報の保護が必要です。 ※医療機関をWEBでつなぎ、個人の病歴(カルテ)などを一括管理しようという記事を新聞 で読みましたが、WEBに対してそこまでの信頼感を持っている方は少ないのではないかと思 います。 2 医療機関と患者・利用者間でのセキュリティ度の高いメッセージ交換システムの評価 医療機関と患者・利用者の間におけるメッセージのやりとりを通常の電子メールによら ずウェブサイト上で送受信し、サーバーの外に出さないシステムは、PGPなどの送受信の相 手とも鍵の発行を要するPKI(公開鍵認証基盤)を使った暗号化メールに比べると、使いやす さの点で有利であった。また、メールソフトや端末の設定に依存しないので、ブラウザさ えあれば、どこからでも利用できる簡便性があった。 ただ、ウェブ上で相手がメールを解読するこのシステムは、共通鍵方式で相手にパスワー ドを送る必要があるため、何らかの方法でこのパスワードを送らなければならない面倒さ はあった。パスワードを知らない相手に自動でこのパスワードを生成、メールで送る方法 は、多少、セキュリティー面での難があるが、初めての相手に秘匿性の高いメールを送る には便利であった。 3 医療機関のネットワークシステムに対する外部からのセキュリティ診断 ネットワークのセキュリティ診断は、個別のネットワークシステムのセキュリティーホー ルの有無を指摘するものであり、診断結果はデリケートな情報を含んでいるため、医療機 関名を特定しない方法で、分析する必要があった。また、システム構成が個別に異なるた め、均一な質問の設定、またその集計ができなかった。 そこで、個別に問題が指摘された点を提示できる部分について聞き取り可能なところか らのみ回答をもらった。診断を実施した場所は、全部で6施設7カ所であったが、そのうち、 実際に回答を得たのが5施設であった。 その要点を以下に記す。 1)A医療機関における診断結果 図1のネットワークパターン[A]を構成するウェブサーバーに対して診断を行った。 問 題点として、ウェブサーバーがプロキシサーバーとしても機能していて、さらにプロキシ ペネトレーション (プロキシ透過)を許可していることが指摘された。 まず、1番目にプ ロキシサーバーのプロキシサービスは、ほとんど制限なしにプロキシペネトレーションを 許可していた。プロキシペネトレーションを許可すると、当該サーバーを経由して、他の ウェブサイトへの自由なアクセスが可能となり、悪意ある第三者によって、当該サーバー が踏み台にされる恐れがあった。 2番目に、使用されているウェブサーバーシステムには、httpサービスをプロキシサー バーとして作動できる機能があり、当該ウェブサーバーがプロキシサーバーとしても動作 していることが判明した。プロキシサーバーはファイアウォールとしての機能を有するこ ともあり、このようなかたちでサーバーが構築されると、万一、ウェブサーバーが攻撃さ れ侵入されると、プロキシ(ファイアウォール)サーバーも攻撃され、ひいてはネットワー ク全体が無防備となってしまう恐れも否定できないものであった。 以上の診断結果から、当該医療機関のシステムにおいて、1番目の問題点に対しては、踏 み台にされないようなアクセス制限を行い、2番目の問題点に対しては、ウェブサーバーと プロキシサーバーの同居をやめる設定変更を行い、セキュリティ対策の向上をはかること が勧告された。 また、その他、ftpサービスが匿名のログオンを許可する設定になっていることが指摘さ れたが、ファイルへのアクセスには制限があり、アクセスできたディレクトリにもファイ ルは実在せず、アカウントなども取得できなかったので、この点においては問題はなかっ た。 2) B医療機関における診断結果 図1のネットワークパターン[A]を構成するウェブサーバー、ファイアウォールに対して 診断を行った。 今回の診断では外部からの侵入に結びつく弱点は検出されなかった。サービスも必要な ものしか公開されておらず、またそのサービスから直接侵入に結びつくセキュリティホー ルは見つからなかった。仮にインターネットからの攻撃があるとするならば、ウェブや Telnetを通したファイアウォールへのログイン攻撃、または高度なソーシャルエンジニア リングを使用したものに限定されると予想された。 ただ、危険性をはらむ問題点が2つほどあった。 ひとつは、ウェブサービスで、ディレクトリの一覧を許しているディレクトリがあって、 今回の診断で有用な情報らしきものこそ確認できなかったが、管理者が何らかのファイル を置き忘れるなどして、侵入のために使用されるような情報を不用意に提供してしまう危 険性を含んでいることが指摘された。 また、このウェブサイトでは、tracerouteが制限されていなかった。tracerouteはふた つのエンドポイント間でパケットが通過するルートを特定するユーティリティであるが、 サイト内のパケットの経路情報を提供することで、ネットワークの構成が推測さる可能性 もあり、セキュリティ上あまり推奨されるものではない。 tracerouteはネットワーク障害 時の保守に役立つメリットもあるが、今回はセキュリティを優先し、traceroute使用を制 限するほうが望ましいと勧告された。 3) C医療機関における診断結果 図1のネットワークパターン[A]を構成するウェブサーバー、ファイアウォール、ルーター に対して診断を行った。 ウェブサーバーに関しては、2台あるウェブサーバーに共通してFTPに関する弱点が検出 された。それは、匿名ftpでのログイン、さらにはftpディレクトリーへの書き込みを許可 していることであった。匿名ftpの許可はそのサーバーの運用方針に関わることで、必ずし も弱点とは断定できない。ただ、このftpで入ることのできるディレクトリーがさらに書き 込みが許可されていた。匿名ftpは、たとえば、対外的に公開している情報をダウンロード する場合に限り認めるといったような方針のもとに運用する場合は別として、特に今回の ように一時的なファイルの保管場所のような形で、第三者の自由な書き込みを許している ような状態での運用はセキュリティ上好ましくないことが指摘された。悪意のある攻撃者 がバックドアなどの攻撃用ツールを仕掛けてくる危険もある。 さらに、公開ウェブサーバーの1台からcgi-bin関係の弱点が検出された。この弱点は cgi-binディレクトリーの下にリモートで実行可能なシェルインタープリターと推測できる ファイルが発見されたというものであった。もし、実際にシェルインタープリターが存在 している場合は、このページへのアクセスには認証を用いて制限を行うなどの対策をとる べきであろうと勧告された。 次に、ファイアウォールに関しては、ファイアウォールは本来、単独で稼働すべきホス トであるにもかかわらず、今回比較的多くのサービスを行っていることが検出された。こ れは、ファイアウォールの役割を考えると問題であった。多くの攻撃は立ち上がっている サービスを通して行われ、サービスが多くあがっているということはそれだけ攻撃用のホー ルを用意しているということになる。ファイアウォールから多くのサービスがあがってい れば、いざという時にファイアウォールとしての役目を果たせなくなる恐れがある。今回 の診断では、ファイアウォールからtelnet、ftp、smtp、pop3といったサービスが検出され た。これらのサービスはTCPwrapper等でのアクセス制御を行っていたとしても、本来、ファ イアウォールには不要なサービスであった。TCPwrapperにしても将来的にホールが見つか らないという保証はない。 また、ファイアウォールのBINDのバージョンは特定できなかったが、BINDのバージョン が8.2.2-P7以前の場合は、すみやかなバージョンアップを行うことが推奨された。これ は、2001年の1月29日に報告されたBINDのバッファオーバーフローの弱点であるが、これが ファイアウォールに対して行われ、攻撃が成立するとファイアウォールが機能を停止し、 ひいては内部のネットワークに大きい打撃を与える恐れがあることが指摘されている。 最後にルーターに関しては、echo、chargen二つのサービスが検出された。これらは、設 定上の都合かも知れないが、必要に応じてサービス停止などの処置をとることが推奨され た。 4) D医療機関における診断結果 図1のネットワークパターン[C]を構成するウェブサーバー、メールサーバー、ルーター に対して診断を行った。 ウェブサーバーに関しては、使用しているBindのバージョンにおいて、バッファオーバー フローの弱点を有することが判明した。これは、放置しておくとリモートからルート権限 を取得される恐れがあるというものだった。今回の診断では、サーバーを使用不能にする Dos攻撃は行っていないので、実際に確認したわけではないが、他にも Bindに関しては、 「xzfr」「sigdiv0」「srv」「infoleak」「tsig」と呼ばれる弱点が報告されている。特 に、「tsig」は最近発見された非常にクリティカルなセキュリティホールで、攻撃者が類 似の攻撃を仕掛けて来る可能性がないとはいえない。Bindについては、これからもセキュ リティホール情報を頻繁にチェックすることが勧告された。 次に、メールサーバーに関しては、今回の診断の範囲内では、セキュリティはかなり強 固に構築されているとうかがえた。サービスが外部セグメントからは見えない構成になっ ていて、外部から内部への攻撃を成立させることは困難な状況であった。ただし、今回は、 サービス不能攻撃等のシグニチャも含めたネットワーク内部からの診断を行ったものでな いことから、内部セグメントで内部マシンに対する診断を行うことで、より高いセキュリ ティの確保が可能になることが推奨された。 なお、ルーターに関しては、今回の診断の範囲内においては弱点は検出されなかった。 5) E医療機関における診断結果 図1のネットワークパターン[C]を構成するウェブサーバー、ファイアウォール、ルーター に対して診断を行った。 まず、1番目にウェブサーバーのIIS4.0に関係する弱点が三つ検出された。中でも、RDS (リモートデータサービス)に関する弱点は、攻撃者がアカウント、パスワード、テーブル に関する情報を持っていることが前提となるが、特にパスワードが適切に設定されていな い場合は、高いリスクを露呈してしまうことになり、早急な対策が勧告された。 IISは、 ごく最近においてもセキュリティホールが発見、報告され続けており、すでにくつかのホー ルに対してパッチ等で対策がとられている形跡もあったが、今後とも十分な注意が必要と された。 2番目に、当該サーバーがウェブサーバーとファイアウォールサーバーを兼ねていて、診 断ログを解析した結果、CSMプロキシサーバーとウェブサーバーの共存が明らかになった。 この状態では、万一、ウェブサーバーが攻撃され侵入されると、ファイアウォールサーバー も攻撃され、ひいてはネットワーク全体が無防備となってしまう恐れも否定できなかった。 ウェブサーバーとファイアウォールサーバーは異なるマシンで構築することが勧告された。 3番目に、当該サーバーはゾーン転送を許可していた。ゾーン転送の弱点は、DNSに登録 されているホストの一覧を攻撃者に取得されてしまう、というものである。ゾーン転送は、 一般的にセカンダリーネームサーバーに対してのみ許可しておけばいいとされている。セ キュリティの観点からは、ゾーン転送は基本的に制限されるべきであると勧告された。 その他、BINDのバージョンが取得できたということがあった。これだけでは、即、危険 があるとは言えないが、将来の更なる攻撃にこの情報が使用されることも否定できなかっ た。 ルーターの診断においては、重大な危機に結びつくようなセキュリティホールは発見で きなかったが、致命的ではない弱点として、ネットマスク要求とタイムスタンプ要求のふ たつが検出された。 <考察> 1 医療機関のウェブサイト認証と医療相談における暗号化に対する利用者意識調査 回答者全員が医療系のウェブサイトを閲覧した経験を持っていた。その半数以上の方が 医療系サイトの信頼性に不安を感じていた。さらに、インターネット上で医療相談をした ことがある人のうち76%が、セキュリティーや個人情報の保護に不安を感じていた。この ことから、医療相談サイトなどを訪れても個人情報保護の不安から実際の相談を行ってい ないことも推察された。痛風医療相談のSSL化とプライバシーポリシーの策定についてはわ からないと答えたのが20%だったが、残りの80%が安心や信頼を感じるとの回答していた。 そして、回答者全員が、こうした取り組みで病院のウェブサイトへの信頼感が増し、他 の医療系サイトでも同様の取り組みが必要であると考えていることがわかった。 ウェブサイトは誰でも開設できる反面、全くの第三者が名前を騙ることも容易である。 このことは、医療機関にとっても重大な問題であるが、利用者にとってはより深刻で不安 を感じているところである。現在、閲覧しているウェブサイトが本当に信頼できる医療機 関のものなのか、またそこに送信した医療相談の個人情報が保護されているということを 利用者に保証していく必要がある。第三者機関によるウェブサイトの認証を行い、それを 告知するシステムが有効であることが確認できた。また、医療相談の送受信データのSSL暗 号化でセキュリティーに対する安心感を与えられることがわかった。 2 医療機関と患者・利用者間でのセキュリティ度の高いメッセージ交換システムの評価 通常の電子メールでメッセージを送受信する際、いつどこで誰にデータを拾われている かわからない不安がある。個人の医療情報のような機密性の高い情報は、暗号化等で保護 する必要があるが、お互いに認証IDを持ちあったり、公開鍵を作成、公開するといった手 間から普及が進んでいない。医療機関、医師どおしならまだしも、患者が独自に暗号化メー ルを使いこなすのは難しいものがある。こうした時に、秘匿性の高いメッセージの送受信 が簡易に行えるウェブメール方式の利便性は高いものがあった。 テキスト文章だけでなく、ファイル等も暗号化して送受信できるので、電子データの伝 送、保管に向いているといえる。暗号メッセージの解読には共通鍵を使用するため、パス ワードを共有する必要とするが、このパスワードの伝達法には工夫の余地がある。 3 医療機関のネットワークシステムに対する外部からのセキュリティ診断 ネットワーク構築上のセキュリティ要件については、セキュリティについての考慮が、 ネットワーク構築形態によって多種多様であり、個々の事例によって相当細かな点まで調 査しないと安全度が評価できないという問題がある。 ネットワークにおけるセキュリティの保守は、技術的にも高度で専門的な知識が必要で あり、日常のメンテナンスの程度も大きな要因になることから、誰もが安全にシステムの 運用ができるわけではないことに注意を払わねばならない。医療機関において、「ウェブ サイトを開設すること」と「安全に運用すること」の間には相当の技術的ギャップがある ということに留意する必要がある。 昨今のホームページ改ざん事件に見られるように、明らかに低い管理レベルのサーバー が外部から攻撃されたりする事例だけで、すべてのウェブサイトが危険だと見るのも早計 ではあるが、管理が悪いサーバ、ネットワークがハッキングされ、その結果が外部から目 に見える形で最初に現れるのがウェブサイトだと考えることもできる。 自院のネットワークシステムのセキュリティの確保で、技術的に不安がある場合は技術 に通じた専任の担当者を配置するなり、外部の専門家のアドバイスを受けるなりして、必 要なセキュリティ基準を確保することが重要である。また、そのような体制を組めない場 合は、無理に自分でサーバやネットワークを管理せず、信頼できるプロバイダーなどの外 部サービスを利用するのが賢明であると思われる。 <結論> 医療分野でのネットワーク利用において、完全にクラッカーなどの攻撃からシステムを 守ることは不可能に近いが、ある程度のセキュリティー対策を練ることにより、安全性は 向上し、さらに利用者側に対する信頼感と安心感を与えることができる。このことからセ キュリティ対策を練ることは、セキュリティ向上だけでなく、利用者側の安心感を高め、 医療情報流通の促進が図れるものと考える。 医療系における高度情報化促進のためには、セキュリティ対策は必須のものと認識し、 もっと当たり前のようにセキュリティ対策が練られるようにすべきであろう。そこで、ウェ ブサイトが正当なものであることの確認、利用者の確認、データ、メッセージの保護、そ れから秘密通信を行うための共通鍵方式のセッション鍵の交換、あるいは公開鍵方式の利 用などが、容易にできるようになっていく必要があると考える。 その為にも今後IPsecやQoSなどが標準で考えられているIP v6などの技術の発展が、医療 系においては、より一層期待される。 図1 ネットワークのパターン図(省略:添付PDFファイル参照)