Doctor's VPNは何が違うのか

「一般的なVPNの危険性について」で触れた問題を解決します。

1.VPN装置のアップデート

Doctor'sVPNサーバOpenVPNを始めとするオープンソースのソフトウェアで構成されています。そしてその更新プログラムの適用(アップデート)は原則として一週間に一度自動で行われます。

他のVPN装置の場合手動でアップデートを行う必要があるものが多いです。そうなると、VPN装置を操作できる管理者が必要であり、その管理者がアップデートの有無を日々確認する必要も出てきます。管理者の負担も考えられますし、適用漏れによりセキュリティリスクが放置される危険性があります。

オープンソースの利点はプログラムの中身が一般公開されていることにより、多くの人の厳しいチェックが常に行われており、弱点(不具合や脆弱性)が早く見つかり、その修正用の更新プログラム(アップデート)も早く提供されることにあります。Doctor'sVPNサーバでは更新プログラムの有無のチェックや適用を自動化することにより、人手を介すことなく常に最新の(不具合や脆弱性が改善された)状態に保つことができます。

2.なりすまし防止対策 その1(接続元 IP アドレスを限定)

Doctor'sVPNの場合、接続元には2種類あります。お客様自身と保守目的の弊社からです。

弊社からの接続には弊社の固定IPアドレスを使います。保守用の接続(管理画面の表示)はこのIPアドレスのみを許可しています。それ以外のIPアドレスでは接続ができません。

「接続元 IP アドレスを限定」の要件は「医療情報システムの安全管理に関するガイドライン第5.2版」
「6.11 章 P.42 C.最低限のガイドラインにて、リモートメンテナンスを実施する場合は」に対応しているとなっています。

「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の解説付き回答要領
https://www.mhlw.go.jp/content/10808000/000923610.pdf

医療情報システムの安全管理に関するガイドライン 第5.2版(本編)(令和4年3月)
https://www.mhlw.go.jp/content/10808000/000936160.pdf

この要件はガイドラインで求められている「『なりすまし』の危険性への対応」の一つの手段として挙げられているようです。保守目的前提での接続についてDoctor'sVPNは要件を満たしているといえます。

それではお客様自身の接続についてではどうでしょうか?
こちらはIPアドレスの限定ができません。使用される環境が自宅、出張先のホテル、移動中の携帯デザリング、公衆フリーWiFiなど、どのような環境のインターネットを使われるか分からず、またそのような環境のほとんどが決まったIPアドレスを持たないダイナミックIPアドレスを使用するからです。
逆に言えば接続場所を限定しないところに、院外から院内システムに接続できるDoctor'sVPNの最大のメリットがあります。

3.なりすまし防止対策 その2(OpenVPNとPKI)

「なりすまし」を防ぐ方法としてガイドラインの同じ6.11 章に次の事項が挙げられています。

・IPsec と IKE を利用する等してセキュアな通信路を確保すること
・採用する認証手段は、PKI による認証、(中略)等、容易に解読されない方法
・クライアント証明書を利用した TLS クライアント認証を実施すること

技術用語が多く分かりにくいかと思いますがDoctor'sVPNはこれらの要件を満たしています。

実際に使用するVPNの種類はIPsec/IKEではありませんが、それと同等もしくはそれ以上と言われるOpenVPNを採用しています。

また、ユーザIDとパスワードによる認証ではなく、サーバとクライアントの双方で身分証明書(電子証明書)を持ち、通信する時点で証明書を交換しお互いが正当な通信相手であることを確認します。認証手段としては各段に厳密となり「なりすまし」を防ぐことができます。
この証明書は通信データを暗合化する公開鍵としても使用されます。その一方で暗合データを解読(復号)するための秘密鍵はインターネット上でやり取りする必要がないため、鍵の漏洩による盗聴リスクが極めて低い方法となります。
このような通信技術をPKIと呼びDoctor'sVPNはこれを採用しています。

Doctor'sVPNのクライアント証明書は秘密鍵とともにUSBトークンに格納してお客様に提供します。このUSBトークン内の証明書や鍵を利用するためにはアクセスパスワードであるPINコードが必要となり後述の多要素認証を実現します。
USBトークンのコピー(複製)は不可能なため、これを物理的に持っている人しか院内システムにアクセスできず、なりすまし防止対策として強力に機能します。

4.多要素認証の使用

多要素認証とは本人であることを複数の方法で確認することを言います。一般的には、知っていること(知識情報:パスワードなど)、持っていること(所持情報:キャッシュカードなど)、備えていること(生体情報:指紋など)の中から2つ以上を使うことを言います。
知識情報だけでは推測や漏洩の危険があり、所持情報だけでは盗難や紛失の危険があるため、組み合わせることで本人になりすまされる危険性を大幅に軽減します。
銀行口座のキャッシュカードと暗証番号は多要素認証の代表的なものです。Doctor'sVPNでは所持情報としてUSBトークン(クライアント証明書入り)、知識情報としてPINコード(トークンにアクセスするためのパスワード)を使って多要素認証を実現しています。

5.アクセス記録の確認

Doctor'sVPNサーバに接続すると予め指定されたお客様のメールアドレス(携帯など)にログイン通知のメールが届きます。これにより、心当たりのない通知であれ不正アクセスがあったことをお客様自身で知ることができますし、普段お使いのメール環境にアクセス記録を残すことができます。

ログイン記録は、弊社の管理メールアドレス、Doctor'sVPNサーバのログファイル、クラウド上の弊社ログサーバに通知記録されます。
ログが複数の場所に記録されることに意味があります。これは万が一不正接続/侵入を許してしまった場合の事後対応/対策に役に立ちます。

不正な侵入者は自身の行動の痕跡を消すために侵入先のログを消すことがあります。データ改竄(ランサムウェアのファイル暗合化を含む)など被害を受けた場合、データ復旧の必要があります。この時、ログが消されていて、いつ侵入されたか分からないことは大きな問題となります。最新のバックアップデータで復旧すれば良いと考えるかもしれませんが、それが侵入後に取ったバックアップだった場合、マルウェアも既に混入していてマルウェアごと復旧してしまい、更に被害が続く可能性があります。そのためいつ侵入されたかの情報は重要とな
ります。また、被害の範囲を判定したり、その後の防止対策を施すにも、侵入の経緯を知るログは重要となります。そのため、ログがないというのは大きな障害となります。

ログが侵入先(院内)以外にも保存されている場合、その全てを消し去ることは侵入者に取って非常に困難となります。お客様の携帯や弊社サーバにも更に侵入してログを消す必要があるからです。そのため、ログを残せる可能性が非常に高くなります。

私が侵入者なら、ログが分散保管されていることを知った時点で、そのような厄介な場所からはすぐに立ち去ります。侵入すべき場所が複数あり手間が掛かる一方でログが残って自分の身元が判明してしまうリスクもあるからです。セキュリティが弱いところは他に幾らでもあり、そちらを狙った方がリスクが低く効率的だからです。このような機能はセキュリティ被害の抑止効果にも繋がるように思います。


文責:株式会社インキューブ 石田耕治 (登録情報セキュリティスペシャリスト)