Upgrade to Pro — share decks privately, control downloads, hide ads and more …

電子カルテとセキュリティガイドラインとAWSと私 /Rails Developers Meetup 2018 Day 3 Extreme

Medley Inc.
July 18, 2018
Technology
1
3.1k

電子カルテとセキュリティガイドラインとAWSと私 /Rails Developers Meetup 2018 Day 3 Extreme

7/14(土)にRails Developers Meetup 2018 Day 3 Extremeで、メドレーの宍戸が発表させていただいた資料です。

・Rails Developers Meetup 2018 Day 3 Extreme
https://techplay.jp/event/679666

Medley Inc.

July 18, 2018
Tweet

More Decks by Medley Inc.

See All by Medley Inc.
メドレーという会社と デザインチームのひみつ/About Medley design team
medley
0
350
プロダクトデザインは子育て/Product design is parenting
medley
0
280
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
11k
メドレー 会社説明資料/ Medley Company Guide
medley
12
50k
組織の急成長を実現するための
メドレーの人事戦略と Workday の活用
medley
0
620
FY22 新卒研修 Quality Assurance 〜「QA」「品質」「テスト」とは?〜
medley
1
2k
これからのDX時代のエンジニアに求められること ~医療業界へのアプローチを通じて~
medley
2
5.2k
業界特化型プロダクトを開発するために必要なこと
medley
3
2.1k
クラウド診療支援システム CLINICSの目指す世界
medley
3
490

Other Decks in Technology

See All in Technology
Databricksを活用してDELISH KITCHENのレシピレコメンドを開発した話
furu8
0
240
少数チームで挑む: SwiftUI, TCA, KMPを用いた 新規動画配信アプリ 「ABEMA Live」の開発について
tomu28
0
480
SREとその組織類型
tatsuo48
8
1.4k
DevOpsDays History and my DevOps story
kawaguti
PRO
1
520
反実仮想機械学習とは何か
usaito
PRO
3
720
Data and AI Governance: Existing Challenges and Emerging Trends
scotthsieh825
0
130
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
0
120
Kubernetesでアプリの安定稼働と高頻度のアップデートを両立するためのプラクティス / Best Practices for Applications on Kubernetes to Achieve Both Frequent Updates and Stability
hhiroshell
10
2.9k
メールセキュリティの DMARC周りの設定を少しずつ設定してみたお話
miu_crescent
1
260
「共通基盤」を超えよ! 今、Platform Engineeringに取り組むべき理由
jacopen
25
5.6k
Amplify Gen2を 拡張してみよう JAWS-UG北陸新幹線 ( 福井開催 ) 2024-04-06/Let's extend Amplify Gen2
fossamagna
0
280
なぜ NOT A HOTEL が Web3 に取り組むのか - NOT A HOTEL TECH TALK
ynunokawa
0
160

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
aleyda
16
6.3k
Making the Leap to Tech Lead
cromwellryan
123
8.5k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
15
1.4k
Teambox: Starting and Learning
jrom
127
8.4k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
74
41k
How GitHub (no longer) Works
holman
302
140k
Fantastic passwords and where to find them - at NoRuKo
philnash
35
2.5k
Why Our Code Smells
bkeepers
PRO
330
56k
Why You Should Never Use an ORM
jnunemaker
PRO
50
8.6k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4.4k
Designing Experiences People Love
moore
135
23k

Transcript

  1. 電子カルテとセキュリティガイ ドラインとAWSと私 株式会社メドレー 宍戸展志

  2. 自己紹介 - 宍戸展志(@joe_hrmn) - 株式会社メドレー - CLINICSカルテ / オンライン診療アプリCLINICS

  3. 今日は電子カルテに関する話をします - CLINICSカルテというやつです

  4. 今日の内容 - CLINICSカルテ - 3省4ガイドライン - ガイドラインへの対応 - セキュリティ対応 -

    クライアント認証 - まとめ

  5. CLINICSカルテ - クラウド型電子カルテ - 院内への設備投資や準備の手間を削減 - ORCAを内包し、患者の管理も電子カルテでワンストップに - アップデートやセキュリティもプロダクト側で対応 -

    オンライン診察とも連携

  6. 3省4ガイドライン - 電子カルテをはじめ、電子化された医療情報をパブリッククラ ウドなどに外部保存する際に遵守する必要があるガイドライン - 医療情報システムの安全管理に関するガイドライン - ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン - 医療情報を受託管理する情報処理事業者における安全管理ガイドライン

    - ASP・SaaSにおける情報セキュリティ対策ガイドライン

  7. ガイドライン内容(かなり抜粋) - 個人情報の保護方針の公開(プライバシーポリシーなど) - アカウントごとの権限管理や各種操作のログ管理 - 運営組織に属する社員へのセキュリティ教育や退職者のアカ ウント管理(内部統制) - データのバックアップやリカバリ方法の文書化

    - クライアント認証や通信に関する要件 - 日本国法の適用範囲での管理 - etc

  8. ガイドライン内容(かなり抜粋) - 個人情報の保護方針の公開(プライバシーポリシーなど) - アカウントごとの権限管理や各種操作のログ管理 - 運営組織に属する社員へのセキュリティ教育や退職者のアカ ウント管理(内部統制) - データのバックアップやリカバリ方法の文書化

    - クライアント認証や通信に関する要件 - 日本国法の適用範囲での管理 - etc

  9. カルテシステムの基本構成(イメージ)

  10. カルテシステムの利用サービス群(※一部) CodeBuild ビルド CloudWatch Lambda 通知 Cloud Trail Inspector VPC

    flow logs Guard Duty セキュリティ Route 53 S3 Automation Documents Inventory Parameter Store Patch Manager Systems Manager Run Command インスタンス管理

  11. カルテシステムの利用サービス群(※一部) GuardDuty 監視 設定履歴、ルール管理 Config CloudTrail VPC Flow Logs ログ収集

    CloudWatch Lambda 通知 SNS

  12. カルテシステムの利用サービス群(※一部) GuardDuty 監視 設定履歴、ルール管理 Config CloudTrail VPC Flow Logs ログ収集

    CloudWatch Lambda 通知 SNS

  13. カルテシステムの利用サービス群(※一部) GuardDuty 監視 設定履歴、ルール管理 Config CloudTrail VPC Flow Logs ログ収集

    CloudWatch Lambda 通知 SNS

  14. カルテシステムの利用サービス群(※一部) GuardDuty 監視 設定履歴、ルール管理 Config CloudTrail VPC Flow Logs ログ収集

    CloudWatch Lambda 通知 SNS

  15. 医療機関からのNW接続や認証 - これまでのガイドライン - オンプレの構成が前提 - オープンなNWに対してはVPNでの接続が必要だった - 2017年(第5版) -

    TLS1.2でのクライアント認証も選択肢に

  16. クライアント認証 - サーバー証明(書)とSSL通信 - 信頼された認証局によりがサービスを提供する運営組織が実在することを証 明(電子証明書の発行) - 証明書を利用しSSLにより利用者とサービス間で暗号化通信を行う - クライアント証明

    - システムを利用するユーザーのデバイスに証明書を設定 - 上記証明書をチェックしサーバー側で利用者を認証 - 証明書を持たない端末からのアクセスを制限

  17. クライアント認証(前)

  18. クライアント認証(後)

  19. クライアント認証 - Application Load Balancer - TLSクライアント認証に非対応 - SSL終端となるためNginxでのクライアント認証不可 -

    API Gateway - TLSでのクライアント認証に非対応 - SSL終端となるためNginxでのクライアント認証不可 - API Gateway〜backend間で、API Gatewayをclientと見なすケースにおいて はクライアント認証の設定も可能(コレジャナイ...) - 結果として - ELBでのTCPロードバランシング(SSL終端しない) - Nginxで認証(SSL終端とクライアント認証)

  20. 今後 - 医療システムとしての機能拡充 - 機能増大に伴うコンポーネントの増加 - サービス分割・・・? - いかにシンプルにガイドラインを守ることが出来るか -

    現状の構成でどこまでいける・・? - FargateやEKSを利用した構成の検証

  21. まとめ - 医療情報を扱う上で守るべきガイドラインの存在 - そのガイドラインへの対応の一例 - 各種マネージドサービスを使うことで様々な要件に対応できた - クライアント認証の一例 -

    引き続き、マネージドサービスの力を借りつついい感じの構成 を模索中 - アプリケーションの開発に力を入れていけるように
  22. None