JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

ガイドラインに準拠した病院情報システムのセキュリティ対策 ~二要素認証による認証強化と利便性の向上~

ガイドラインに準拠した病院情報システムのセキュリティ対策 ~二要素認証による認証強化と利便性の向上~

個人情報保護法の改正により、病歴が「要配慮個人情報」として明確に指定されました。
医療現場で取り扱う個人情報はより厳格な管理が必要になり、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を改定・公表しました。

医療情報システムについて

医療等分野並びに医療情報システムを取り巻く環境は大きく変化しています。

「電子カルテ」が日本の医療現場でも活用されていますが、年齢・性別といった基本情報、医療記録や保険情報、さらには支払いのためのクレジットカード情報も含まれており、情報漏えいの際には大きな問題を引き起こすことが懸念されています。

認証強化の重要性と徹底の難しさ

「医療情報システムの安全管理に関するガイドライン」にも「ID・パスワードのみの組み合わせによる認証では十分な安全性を確保できない」との記載がありますが、パスワードの安全性は決して高くありません。

ID/パスワードによる認証は、実装や展開が容易なため広く普及していますが、以下のようなデメリットもあります。

  • 漏えいしたことに気付きにくい
  • 個人の記憶に頼らなければならない
  • 数字の羅列や、意味のある簡単な単語に設定されたパスワードは、他人からも簡単に類推できてしまう
    (パスワードを解読する攻撃方法やツールが多数存在する)

パスワードの桁数を増やすことで強度を向上することも可能ですが、ユーザが長く複雑なパスワードを覚えられずパスワードを使いまわす、メモや付箋に残すなど、セキュリティレベルが低下する状況に陥ることがあります。

また、パスワード忘れの問い合わせが増え、情報システム部門の業務を圧迫することもあります。

二要素認証

「医療情報システムの安全管理に関するガイドライン」に「認証に係る技術の端末への実装状況等を考慮しできるだけ早期に二要素認証を実装することを求める」との記載がありますが、「二要素認証」は医療機関の情報を守る有効な手段と言えます。

二要素認証とは

ID/パスワードだけに頼った認証の問題を解決するため、広く用いられている認証方式が「二要素認証」です。認証の手段は大きく分けると①正規の利用者だけが知っている情報(知識)、②正規の利用者だけが持っているモノ(所持)、③正規の利用者の身に備わっている特徴(存在)の3種類があります。具体的には、①はパスワード、②はICカードやUSBキー、③は指紋や静脈、顔による認証などです。二要素認証は、これら3種類のうち、異なる2つの手段を組み合わせて認証を行う方式です。

種類 認証の手段 利点 欠点
種類① 知識

認証の手段

正規の利用者だけが「知っている情報(知識)」をその人が知っているか否かで判断する

利点

  • 運用が安い、簡単

欠点

  • 複雑すぎる「知識」は記憶できない
  • ハッキングされやすい、盗まれたことに気づきにくい
  • 1回盗まれると、簡単に共有されてしまう
  • バスワードの強度を上げると、複雑になりユーザから管理者へ「パスワードが分からない」という問い合わせが増える
種類② 所持

認証の手段

正規の利用者だけが「持っているモノ(所持品)」をその人が持っているか否かで判断する

利点

  • 持つだけで簡単
  • 「知識」に頼らず、安全性を向上できる
  • 盗まれたことが、すぐわかる

欠点

  • カードやトークン等の盗難・紛失・偽造の恐れがある
種類③ 存在

認証の手段

正規の利用者の「身に備わっている特徴(利用者自身の存在)」でその人か否かを判断する

利点

  • 「知識」や「所持」に頼らず、安全性を向上できる
  • 偽造が困難
  • 盗難・紛失の恐れがない

欠点

  • 特別な装置が必要で、運用コストが高い
  • 生体認証の種類や装置によって認証精度に大きなばらつきがある
※顔認証はWebカメラで出来るので、高い装置は必要ない

●認証の種類は単独だと、それぞれ一長一短。長所短所が異なる種類を組み合わせることで、お互いの弱点を補ってセキュリティを強化するのが二要素認証です

COLUMNIDとパスワードの組み合わせは「二要素認証」ではない!?

IDとパスワードによる認証は、IDという情報とパスワードという情報の2つで認証を行うため、「二要素認証」であると思いがちです。しかし、IDは正規の利用者以外も知っているものなので、認証要素にはなりません。

「知識」による認証を実際に行うために、IDとパスワードという2つの組み合わせを用いているにすぎません。よって、二要素認証には該当しないのです。

二要素認証でセキュリティを強化
パスワード×ICカード×生体認証

二要素認証は、異なる種類の認証手段を2つ組み合わせることで、セキュリティを強化するものです。例えば、パスワード(知識)とICカード(所持)による二要素認証の場合、万が一パスワードが外部に漏えいしてしまったとしても、ICカードがなければ情報システムは使えないため、不正利用を防ぐことができます。逆にICカードが盗まれても、パスワードを知られなければ不正利用は防げます。パスワード(知識)と生体認証(存在)による二要素認証も同様です。このように二要素認証は3種類の認証手段それぞれの長所を活かし、かつ、各認証手段がお互いに補うことで、一種類のみの認証に比べて、セキュリティを格段に強化できるのです。

ただし、ICカードは忘れたり紛失したりする恐れがあり、生体認証は比較的コストが高いなど、各要素手段には短所もあり、導入の際はそれらを考慮する必要があるでしょう。

要素 具体例 必要なもの
要素① 利用者が知っていること

具体例

  • パスワード
  • 暗証番号

必要なもの

  • キーボード
  • マウス
  • タッチパネル
要素② 利用者が持っているもの

具体例

  • ICカード
  • クレジットカードなど
  • セキュリティトークン
  • 電子証明書
  • 身分証明書

必要なもの

  • カードリーダー
  • セキュリティトークン
要素③ 利用者の身体的特徴

具体例

  • 指紋
  • 静脈
  • 網膜
  • 声紋

必要なもの

  • 指紋リーダー
  • 静脈リーダー
  • カメラ
  • マイク
セキュリティ低→高:パスワード→ICカード→生体認証→【二要素認証】パスワード+生体認証→【二要素認証】ICカード+生体認証

ジャパンシステムが提供する認証強化セキュリティソリューション

ARCACLAVIS Ways ライセンス導入実績120万

ARCACLAVIS Ways(アルカクラヴィス ウェイズ)は、二要素認証により厳格な本人認証を実現する認証強化セキュリティソリューションです。

また、「フォルダ暗号」「ドライブ暗号」「USBメモリの暗号」「ログ管理」などの機能により、PCの盗難、USBメモリの紛失、不正なファイル持ち出しなど、万が一の事態から情報漏えいを防止することができます。

医療機関でもUSBメモリの紛失インシデントは報告されています。ARCACLAVIS Waysの「USBメモリの暗号」は、高価な暗号機能つきのUSBメモリではなく、市販のUSBメモリが使えるなどコスト面でもメリットがあります。

さらに、「シングルサインオン」機能により利用者は業務アプリケーションごとのID/パスワードの違いを意識しない運用ができ、セキュリティとユーザの利便性を両立できる理想のソリューションです。

二要素認証 自動暗号化 シングルサインオン USBメモリなどのデバイス制御 ログ機能

導入実績

実績多数!医療機関のセキュリティ対策はジャパンシステムにご相談ください 実績多数!医療機関のセキュリティ対策はジャパンシステムにご相談ください

医療機関への最新の導入事例

共立蒲原総合病院 様

電子カルテ端末に二要素認証とシングルサインオンを導入
医療情報セキュリティの強化とユーザの使いやすさ、管理負荷軽減を実現
続きを読む

地方自治体における導入実績

医療機関と同じく、「個人識別番号」「要配慮個人情報」を含む個人情報を扱う地方自治体における二要素認証の導入実績が多数あります。

マイナンバーの本格運用に向けて、総務省は全国の地方自治体に対し二要素認証導入などを要件とした「自治体情報システム強靭性向上モデル」への対応を要請しました。ジャパンシステムでは2015年末より「自治体情報システム強靭性向上モデル」の要件を満たすソリューションを提供しており、2016年にはトータル115団体に採用されました(※1)

  • (※1)二要素認証のほか、ファイル無害化(サニタイズ)、ネットワーク分離ソリューションも合わせた実績になります。

地方自治体における二要素認証導入実績

プレスリリース
ジャパンシステム、文京区より常時監視機能搭載の顔認証ソリューションを受注
~顔認証とICカードによる二要素認証を採用~
続きを読む
コラム
富士市様における二要素認証導入事例
~「自治体情報システム強靱性向上モデル」にも対応~
続きを読む

ARCACLAVIS Ways(アルカクラヴィス ウェイズ)の導入実績

自社開発の認証強化セキュリティソリューション「アルカクラヴィス」シリーズは、1998年より国産自社開発・販売・保守を継続し、官公庁、自治体、金融機関、保険など、さまざまなお客様へトータル120万ライセンスの導入実績があります。

導入実績一覧