WebDriveは、HIPAAが要求する安全な接続(暗号化された転送)を提供しますが、最終的なコンプライアンス準拠は、サーバー側とWebDrive側の設定に依存します。
当記事では、WebDriveをHIPAA準拠の環境でご利用いただくための、推奨設定をご案内します。
HIPAA準拠のためのプロトコル別推奨設定
HIPAAコンプライアンス(機密性の高い医療データの保護)においては、暗号化されたプロトコル(SFTPまたはFTPS/TLS)の利用が必須です。また、安全性が低い古いバージョンの暗号化方式(TLS 1.0/1.1やSSL)を無効化することが求められます。
HIPAA準拠とは?
HIPAA (Health Insurance Portability and Accountability Act) は、米国の医療情報のプライバシーとセキュリティに関する規制です。日本国内での利用においても、特に機密性の高い情報を扱う場合は、この基準を満たすことが推奨されます。
SFTP (SSH File Transfer Protocol)
SFTPは、もともとセキュアなSSHプロトコル上で動作するため、デフォルトで高い安全性を誇り、HIPAAコンプライアンスに最も推奨されるプロトコルです。
より安全な運用推奨事項
- SFTP接続時には、パスワード認証だけでなく、SSH2で署名されたホストキー(公開鍵認証)を利用することを強く推奨します。
- サーバー側の設定として、古い暗号スイート(Cipher Suite)やハッシュアルゴリズムを無効化し、強力なもののみを使用してください。
FTPS (FTP over TLS/SSL)
FTPSは、SSL/TLSを利用して接続を暗号化します。
WebDriveでは、既に安全ではないSSL (TLS 1.0/1.1以前)のサポートは廃止されているため、暗号化通信は可能です。
FTPS利用時の必須設定
FTPSを利用する場合、WebDrive側 および接続先のFTPサーバー側で、安全性の低いTLS 1.0およびTLS 1.1を無効化し、TLS 1.2またはTLS 1.3のみが有効になっている状態での運用を強く推奨します。
TLS変更手順
切断
をクリックしてサイトから切断。
全ての設定を表示
をクリックして「WebDrive 設定」を開き、「全ての設定を表示」にチェックを入れて、
をクリックしてホームに戻る。
高度な設定を開く
対象サイトの
をクリックして接続設定を開き、「高度な設定」をクリック。
TLS プロトコルの選択
「TLS プロトコル」の項目で、有効化したいバージョンだけにチェックを入れる。
接続を試行
をクリックしてホーム画面に戻り、対象サイトへの接続を試行。
安全性を重視される場合、SFTPをご利用いただく事を強く推奨いたします。
