Audit Trail and Node Authentication プロセスフロー

Audit Trail and Node Authentication統合プロファイルでは、セキュリティ対策として ユーザ認証、ノード認証と監査記録の作成が行われる。ノード認証とユーザ認証は、

セキュアノードのコンセプトや、セキュアドメインにおける接続されたセキュアノードの 集合体を確立するトランザクションの定義を行う（Volume ITI-III: 付録 Aを参照)。

監査記録の作成は、監査を開始させるイベントのセット、そして監査記録の内容の定 義などを必要とする。このプロファイルでは、2種類の受け入れ可能なメッセージフォ ーマットを特定している。

1. IHE Audit Messageフォーマットに沿ってフォーマット化されたメッセージ。これ はDICOM Audit Messagesフォーマットと、IHEエクステンションの組み合わせ である。RFC-3381へのIHEエクステンションは、イベントコード、そしてDICOM 標準のドメイン内以外で利用する際に必要な情報が追加されている。

2. 以前の IHE Provisional Audit Messageフォーマット。このフォーマットは、標 準団体が、Common Audit Messageフォーマットとボキャブラリーを定義する ための標準を検討している間の、暫定的なフォーマットとして定義されている。

ASTM (E2147-01 Standard Specification for Audit and Disclosure Logs for Use in Health Information Systems) やHL7 (Framework for Audit Messages)の取り組みに基づき、IHEは 監査をトリガーするイベントのセット、監査記録のためのコンテンツと一般的な監査メッセージ のセット、そしてそれぞれのイベントと一般的な監査メッセージとのマッピングを詳細に定義して いる。監査記録のコンテンツは、XMLスキーマによって特定されている（ITI-II:付録Fを参照）。

以下のパラグラフは、認証されたユーザ、認証されていないユーザ、認証されていな いノードが、保護された医療情報（PHI）にアクセスしようとした場合の3つの典型的な プロセスフローを示している。

9.6.1 通常ノードプロセスフロー

以下のシナリオは、IHEセキュリティ対策が、ネットワーク上の認証されたノードから、

PHIへ認証されたアクセスを行う際、いかに運用されるかを示したものである。

1. 時間の同期化が独自に行われる。これらのトランザクションは、いつ行われて も良い。正しいタイムスタンプを利用した監査記録を作成するため、正確な時 間情報が必要となる。

2. ユーザは「Image Display/Secure Node」アクタにログインする。

ユーザは正しい証明書を入力、ノードにアクセスする許可を得る。

3. ノードが監査記録を作成する。

4. ユーザは画像のクエリ、取り出し、閲覧を行う。

画像のトランザクションが実施される前に、「Image Display/Secure Node」ア クタと「Image Manager/Image Archive/Secure Node」アクタ間での認証プロ セスが実行される。

5. ノード認証に続き、ノードはクエリ・情報取り出しのためのトランザクションを開 始する。

6. ノードは監査記録を作成する。

図 9.6-1. 認証ノードプロセスフロー 9.6.2 不正ノード プロセスフロー

以下のシナリオは、IHEセキュリティ対策が、ネットワーク上の認証されていないノード から、認証されていないユーザがPHIにアクセスすることを、いかに防止するかを述 べたものである。

1. 不正なノードが「Lab Automation Manager/Secure Node」アクタに情報入手 のためのクエリを行おうとする。ここでは認証が行われないため、クエリは失 敗し、監査記録が作成される。

2. 不正なノードが「Image Manager/Image Archive/Secure Node」との間で認 証プロセスを実行しようとする。ここでは、「Automation Manager/Secure Node」が悪質なノードによって提示された証明書を信頼しないため、プロセス は失敗し、監査記録が作成される。

ここで記載されているトランザクションの順序は、ひとつの事例に過ぎない点に注意す る。不正なノードからのトランザクションは予期不可能であり、この他の順序でも起こ る可能性がある。

Image Display/ Secure Node

Image Manager/

Image Archive/ Secure Node

Audit Record

Repository/Secure Node Time Server

時間維持[ITI-1] 時間維持[ITI-1]

時間維持[ITI-1]

監査イベント記録[ITI-20]

（ユーザ認証済み）

画像閲覧

ノード認証[ITI-19]

画像クエリ

画像取り出し 監査イベント記録[ITI-20]（画像取り出し）

監査イベント記録[ITI-20]（インスタンス利 用）

監査イベント記録[ITI-20]（画像クエリ）

監査イベント記録 [ITI-20] （画像取り出し）

図 9.6-2. 不正ノードプロセスフロー 9.6.3 不正ユーザプロセスフロー

以下のシナリオは、IHEセキュリティ対策がヘルスケアエンタープライズ内の不正ユー ザにより、PHIに不正アクセスされることをいかに防止するかを示したものである。

1. 不正ユーザが「ECG Display/Secure Node」アクタとの間で認証プロセスを実 行しようとする。「ECG Display/Secure Node」アクタはユーザ名と提示された 証明書がこのセキュアノードでは有効でないことを探知、このプロセスは失敗 し、監査記録が作成される。

Unauthorized Node

Lab Automation

Manager/Secure Node Audit Record Repository/Secure Node

監査イベント記録[ITI-20]（ノード認証失敗）

画像クエリ 認証失敗

ノード認証

｛ITI-19]

認証失敗

監査イベント記録[ITI-20]（ノード認証失敗）

図 9.6-3. 不正ユーザプロセスフロー ECG Display/Secure

Node

Audit Record

Repository/Secure Node

時間維持[ITI-1]

Time Server

時間維持[ITI-1]

監査イベント記録[ITI-20]（ユーザ認証済み）

ローカルユーザ認証

（不正ユーザ）