HPKIと連携する医療⽤ ネットワーク制御アプリケーションの開発 東京⼯業⼤学 社会情報流通基盤研究センター 研究⽅法 医療分野のネットワークの現状 様々な業務におけるネットワークの外部接続 ○ レセプト請求⽤(審査⽀払機関向け、実施) ○ 医療連携⽤(医療機関相互向け、⼀部実施) ○ 保険資格確認⽤(保険者など向け、未実施) ⽤途ごとに独⽴のネットワーク機器、回線を設置 外部接続に専⽤の端末を使⽤ 院内LANと論理的、物理的に分離 使⽤上の不便さと費⽤の問題 診療中に電⼦カルテ端末から、 外部の情報を参照することが 出来ない。 統合型医療⽤ネットワーク デモ実験 • 厚⽣労働省で策定された認証⽤途の保健医療福祉分野公開鍵基盤 (Healthcare PKI; HPKI)対応のICカード(医師会発⾏)により、利⽤者の 資格を確認 • 利⽤シーンとして、医療機関間情報連携、医療機関内の端末からの医薬安全情 報の参照、診療所や調剤薬局で利⽤されているレセプト申請及びレセプト申請⽤ 端末のリモートメンテナンスを想定 • 利⽤シーン毎に、診療所などの⼩規模な医療機関における利⽤シナリオを定め想 定される脅威の分析を実施 • フローテーブルの制御条件を検討し、事前に設定するべき情報、フロー制御を⾏う ためのルールの定義、ルール照合に基づき書き込むフローエントリの内容を決定 • 医師等が利⽤する端末上で動作するPKI認証モジュール、サーバ上のOpenFlow 制御アプリケーション(Tremaを利⽤)、OpenFlowコントローラと連携してオンデ マンドでVPN接続をコントロールするVPN制御モジュールおよびソフトウェアVPNルー タを開発 • 開発アプリケーションを使⽤して,資格や端末の認証と連携したフロー制御の検証、 評価を実施 ネットワーク 管理事業者 医療機関 医療機関端末 業務 アプリ クライアン ト⽤アプリ ICカード制御 モジュール HPKIを⽤いた 資格・端末等の認証 管理機関⽤ 認証 モジュール OpenFlow 制御アプリ ケーション 制御条件に基づくフローエントリ管理 HPKI対応 ICカード、 USBトークン OpenFlowスイッチ OpenFlow コントローラ VPNルータ インターネット 情報提供機関 開発の⽬的 ネットワークのフロー制御 フロー制御に 合わせてオン デマンドに VPN接続 • ping コマンドの発信による接続確認 2. 電⼦カルテ端末から外部の医薬品情報参 照サイトへ接続 • HPKIによる利⽤者の認証を⾏う • 外部と接続する際、端末は内部のLAN と切り離される(ping) • VPNの接続状況の確認 VPNルータ 3. 外部接続の終了 • 内部LANとの接続確認 • VPNの接続状況の確認 HPKI 認証 医療連携 アプリ NW管理事業者 病院 A 端末 OpenFlowとオンデマンドVPNの連動 認証 アプリ OpenFlow スイッチ OD-VPN ルータ OD-VPN ルータ OpenFlow コントローラ OD-VPN 常時接続 接続先情 報問合せ 利⽤可能情報 医療機関と外部機関を接続する利⽤シーンを設定し,医師などの資 格や医療機器の端末認証などに基づいて,オンデマンドVPNと連動 してOpenFlowスイッチ上のフローテーブルを制御するOpenFlow コントローラ上のアプリケーションを開発 病院 B VPN 管理 サーバ OD-VPN ルータ OpenFlow スイッチ HPKI 利⽤者 認証処理 利⽤者認証 OD-VPN 接続 フローテー ブル更新 VPN接続 フローエントリ 医療連携要求 Wリスト 照合 ソフトウェア・VPN ルータ EPSON Endeavor ST170E VyOS 1.1.0 VPN接続情報 フローエ ントリ 書込み VPN接続 OD-VPN 設定 OD-VPN 接続 フローエントリ コントローラへの 問合せ及び認証省略 フローテー ブル更新 医療 連携応答 医療連携情報 アプリ 終了確認 連携終了 OD-VPN 切断 フローテー ブル更新 VPN切断 フローエントリ OD-VPN 切断要求 フローエ ントリ書 込み • USBトークンによるPINなしの端 末認証 医療連携 サーバ OD-VPN 常時接続 認証処理 認証結果 OD-VPN 接続要求 VPN切断 OD-VPN 切断処理 OD-VPN 切断 フローエントリ フローテー ブル更新 リモートメンテナンス 1. 外部の端末から医療機関の指定され た端末へアクセス • VPN接続をコントローラに要請 2. 遠隔操作の開始(Telnet) • USBトークンの無いケースの動作 端末 認証 アプリ 認証要求 医療連携 開始 OpenFlowの持つ柔軟なフロー制御をHPKIを利⽤した⼈・ モノ・資格の認証に基づいて実施し,オンデマンドVPN技術 を組み合わせることで,⾼度な個⼈情報である医療情報の流 通へ対応可能な統合型医療⽤ネットワーク制御技術を構築 DNS Wリスト管理 端末情報 IP, MAC、サービスポート コントローラへ 問合せ 病院 B と 接続要求 認証 サーバ ICカード 医師会発⾏HPKI 証明書 搭載(実験⽤) • VPNの接続状況の確認 医療情報連携シーケンスの例 管理機関と医療機関間の明確な責任分解点の検討 ` フロー制御 条件 1. LAN上の機器の常時接続の状態の確認 • スイッチとの連結状態の確認 VPNルータ 他の医療機関 医薬品医療機器総合機構など pica8 p-3290 PicOS 2.1.0 (Open vSwitch) 外部の医薬品情報の参照 ホワイト リスト VPN制御 モジュール Trema OpenFlow スイッチ 3. 外部接続中の端末同⼠の接続確認 • 内部LANとの接続確認 • VPNの接続状況の確認 謝辞 本研究は、総務省先進的通信アプリケーション開発推進事業の⽀援を受け て⾏ったものです。 関係各位に感謝いたします
© Copyright 2024 Paperzz