$30 off During Our Annual Pro Sale. View Details »

電子カルテとセキュリティガイドラインとAWSと私 /Rails Developers Meetup 2018 Day 3 Extreme

Medley Inc.
July 18, 2018
Technology
1
3k

電子カルテとセキュリティガイドラインとAWSと私 /Rails Developers Meetup 2018 Day 3 Extreme

7/14(土)にRails Developers Meetup 2018 Day 3 Extremeで、メドレーの宍戸が発表させていただいた資料です。

・Rails Developers Meetup 2018 Day 3 Extreme
https://techplay.jp/event/679666

Medley Inc.

July 18, 2018
Tweet

More Decks by Medley Inc.

See All by Medley Inc.
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
7.3k
メドレー 会社説明資料/ Medley Company Guide
medley
12
43k
組織の急成長を実現するための
メドレーの人事戦略と Workday の活用
medley
0
480
FY22 新卒研修 Quality Assurance 〜「QA」「品質」「テスト」とは?〜
medley
1
1.8k
これからのDX時代のエンジニアに求められること ~医療業界へのアプローチを通じて~
medley
2
5k
業界特化型プロダクトを開発するために必要なこと
medley
3
2k
クラウド診療支援システム CLINICSの目指す世界
medley
3
450
開会の挨拶 - FHIR Meetup Tokyo #01
medley
1
340
電子処方箋実証事業におけるFHIRの活用 - FHIR Meetup Tokyo #01
medley
2
440

Other Decks in Technology

See All in Technology
なぜ
リアーキテクティング専任チームを作ったのか
kei_s
PRO
1
950
Podman_update_2023-11
orimanabu
1
260
Flink SQL: the Challenges of Implementing a Streaming SQL Engine
jark
0
400
ナレコム CULTURE DECK
kc_nakanishi
0
240
幸運を科学する ~アジャイルチームの成功を再現する方法~
okamototakuyasr2
0
190
AWS Control Towerを2年弱運用して得たエッセンスと展望/securityjaws31
mhrtech
0
150
SOLID Is Dead, Long Live SOLID
lemiorhan
2
160
3つの⽴場で考える技術的負債への組織的アプローチ
sansantech
PRO
14
4.3k
Intlの今までとこれから
sajikix
7
2.6k
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
2
3.9k
負債と言わないことが負債と向き合うこと
kenchan
3
1.7k
Managing "side effect" in Frontend Development
shinyaigeek
3
1.7k

Featured

See All Featured
Web development in the modern age
philhawksworth
201
9.9k
Designing for humans not robots
tammielis
246
24k
RailsConf 2023
tenderlove
0
340
Designing with Data
zakiwarfel
93
4.6k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
12
1k
Stop Working from a Prison Cell
hatefulcrawdad
265
18k
It's Worth the Effort
3n
180
27k
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.8k
Practical Orchestrator
shlominoach
179
9.4k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.3k
The Art of Programming - Codeland 2020
erikaheidi
39
12k
YesSQL, Process and Tooling at Scale
rocio
159
13k

Transcript

  1. 電子カルテとセキュリティガイ
    ドラインとAWSと私
    株式会社メドレー 宍戸展志

    View Slide

  2. 自己紹介
    - 宍戸展志(@joe_hrmn)
    - 株式会社メドレー
    - CLINICSカルテ / オンライン診療アプリCLINICS

    View Slide

  3. 今日は電子カルテに関する話をします
    - CLINICSカルテというやつです

    View Slide

  4. 今日の内容
    - CLINICSカルテ
    - 3省4ガイドライン
    - ガイドラインへの対応
    - セキュリティ対応
    - クライアント認証
    - まとめ

    View Slide

  5. CLINICSカルテ
    - クラウド型電子カルテ
    - 院内への設備投資や準備の手間を削減
    - ORCAを内包し、患者の管理も電子カルテでワンストップに
    - アップデートやセキュリティもプロダクト側で対応
    - オンライン診察とも連携

    View Slide

  6. 3省4ガイドライン
    - 電子カルテをはじめ、電子化された医療情報をパブリッククラ
    ウドなどに外部保存する際に遵守する必要があるガイドライン
    - 医療情報システムの安全管理に関するガイドライン
    - ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン
    - 医療情報を受託管理する情報処理事業者における安全管理ガイドライン
    - ASP・SaaSにおける情報セキュリティ対策ガイドライン

    View Slide

  7. ガイドライン内容(かなり抜粋)
    - 個人情報の保護方針の公開(プライバシーポリシーなど)
    - アカウントごとの権限管理や各種操作のログ管理
    - 運営組織に属する社員へのセキュリティ教育や退職者のアカ
    ウント管理(内部統制)
    - データのバックアップやリカバリ方法の文書化
    - クライアント認証や通信に関する要件
    - 日本国法の適用範囲での管理
    - etc

    View Slide

  8. ガイドライン内容(かなり抜粋)
    - 個人情報の保護方針の公開(プライバシーポリシーなど)
    - アカウントごとの権限管理や各種操作のログ管理
    - 運営組織に属する社員へのセキュリティ教育や退職者のアカ
    ウント管理(内部統制)
    - データのバックアップやリカバリ方法の文書化
    - クライアント認証や通信に関する要件
    - 日本国法の適用範囲での管理
    - etc

    View Slide

  9. カルテシステムの基本構成(イメージ)

    View Slide

  10. カルテシステムの利用サービス群(※一部)
    CodeBuild
    ビルド
    CloudWatch
    Lambda
    通知
    Cloud Trail
    Inspector
    VPC flow logs
    Guard Duty
    セキュリティ
    Route 53
    S3
    Automation
    Documents
    Inventory
    Parameter Store
    Patch Manager
    Systems Manager
    Run Command
    インスタンス管理

    View Slide

  11. カルテシステムの利用サービス群(※一部)
    GuardDuty
    監視
    設定履歴、ルール管理
    Config
    CloudTrail
    VPC Flow Logs
    ログ収集
    CloudWatch
    Lambda
    通知
    SNS

    View Slide

  12. カルテシステムの利用サービス群(※一部)
    GuardDuty
    監視
    設定履歴、ルール管理
    Config
    CloudTrail
    VPC Flow Logs
    ログ収集
    CloudWatch
    Lambda
    通知
    SNS

    View Slide

  13. カルテシステムの利用サービス群(※一部)
    GuardDuty
    監視
    設定履歴、ルール管理
    Config
    CloudTrail
    VPC Flow Logs
    ログ収集
    CloudWatch
    Lambda
    通知
    SNS

    View Slide

  14. カルテシステムの利用サービス群(※一部)
    GuardDuty
    監視
    設定履歴、ルール管理
    Config
    CloudTrail
    VPC Flow Logs
    ログ収集
    CloudWatch
    Lambda
    通知
    SNS

    View Slide

  15. 医療機関からのNW接続や認証
    - これまでのガイドライン
    - オンプレの構成が前提
    - オープンなNWに対してはVPNでの接続が必要だった
    - 2017年(第5版)
    - TLS1.2でのクライアント認証も選択肢に

    View Slide

  16. クライアント認証
    - サーバー証明(書)とSSL通信
    - 信頼された認証局によりがサービスを提供する運営組織が実在することを証
    明(電子証明書の発行)
    - 証明書を利用しSSLにより利用者とサービス間で暗号化通信を行う
    - クライアント証明
    - システムを利用するユーザーのデバイスに証明書を設定
    - 上記証明書をチェックしサーバー側で利用者を認証
    - 証明書を持たない端末からのアクセスを制限

    View Slide

  17. クライアント認証(前)

    View Slide

  18. クライアント認証(後)

    View Slide

  19. クライアント認証
    - Application Load Balancer
    - TLSクライアント認証に非対応
    - SSL終端となるためNginxでのクライアント認証不可
    - API Gateway
    - TLSでのクライアント認証に非対応
    - SSL終端となるためNginxでのクライアント認証不可
    - API Gateway〜backend間で、API Gatewayをclientと見なすケースにおいて
    はクライアント認証の設定も可能(コレジャナイ...)
    - 結果として
    - ELBでのTCPロードバランシング(SSL終端しない)
    - Nginxで認証(SSL終端とクライアント認証)

    View Slide

  20. 今後
    - 医療システムとしての機能拡充
    - 機能増大に伴うコンポーネントの増加
    - サービス分割・・・?
    - いかにシンプルにガイドラインを守ることが出来るか
    - 現状の構成でどこまでいける・・?
    - FargateやEKSを利用した構成の検証

    View Slide

  21. まとめ
    - 医療情報を扱う上で守るべきガイドラインの存在
    - そのガイドラインへの対応の一例
    - 各種マネージドサービスを使うことで様々な要件に対応できた
    - クライアント認証の一例
    - 引き続き、マネージドサービスの力を借りつついい感じの構成
    を模索中
    - アプリケーションの開発に力を入れていけるように

    View Slide

  22. View Slide