ズバリ、NASのセキュリティ、対ネットワークの。。。は、いかがなものなのでしょうか?
またセキュリティ管理上の作業は実際どんな感じでしょうか?
初歩的で済みません、検索もかけたのですがあまり良い記事が見当たらなかったので。。。
どんなシステムかといいますと、
知人の医療系事業所に数台規模のシステム、一種の電子カルテを組むのですが、これのデータベースサーバーです。DBといってもRotus Approachで小細工もしない、単にdBASE?ファイルとアプリケーション本体を置くだけ。。。です。
他に業務用ファイルも置くことにはなると思います。
ここにWindowsマシンでアクセスします。マシンはADSLでインターネット接続します。
最初、XPかVistaのデスクトップマシンを一台置いてサーバー兼用にするつもりだったのですが、場所が無いので新規マシンは全部ノートにして欲しいという要望がありまして。。。
今既にあるXPのデスクトップは、既に使い込んでいて、使うとしたらまっさらに再インストールするしかなく。。。
現状をできるだけ変えずに場所を取らずに、ということでのNAS検討です。
セキュリティといってもそれほどクリティカルな業態ではないのですが、ご時世なので気になります。
一応考えているのはこれです。
バッファロー LS-L250GL/M LinkStation 250GB
http://
よろしくご教示お願いします。
またセキュリティ管理上の作業は実際どんな感じでしょうか?
初歩的で済みません、検索もかけたのですがあまり良い記事が見当たらなかったので。。。
どんなシステムかといいますと、
知人の医療系事業所に数台規模のシステム、一種の電子カルテを組むのですが、これのデータベースサーバーです。DBといってもRotus Approachで小細工もしない、単にdBASE?ファイルとアプリケーション本体を置くだけ。。。です。
他に業務用ファイルも置くことにはなると思います。
ここにWindowsマシンでアクセスします。マシンはADSLでインターネット接続します。
最初、XPかVistaのデスクトップマシンを一台置いてサーバー兼用にするつもりだったのですが、場所が無いので新規マシンは全部ノートにして欲しいという要望がありまして。。。
今既にあるXPのデスクトップは、既に使い込んでいて、使うとしたらまっさらに再インストールするしかなく。。。
現状をできるだけ変えずに場所を取らずに、ということでのNAS検討です。
セキュリティといってもそれほどクリティカルな業態ではないのですが、ご時世なので気になります。
一応考えているのはこれです。
バッファロー LS-L250GL/M LinkStation 250GB
http://
よろしくご教示お願いします。
|
|
|
|
コメント(83)
「自分でなくとも運用できるよう、特殊な仕様にしたくない 」というのはやはりポイントかと。
NASだとパッチ当てとかの手間があまりかかりませんが、WindowsOSだとどうしても毎月恒例行事がありますし。
LinuxサーバーならWindowsよりは手間かからないかもしれませんが、それでもやはり脆弱性が見つかってモジュールをVerUpしなくてはならないこともあります。なので安価なサーバーを入れても、導入後の手間はNASとはだいぶ違うのではと思います。
それにしても、業務でノートPCをサーバーに利用している方が意外に多いというのを、改めて認識しました。
うちの会社はバッファローのNASのようなもの(実際はAD認証ができる10数万のRAID1のWindows Starage serverのもの)は補完的に特定部門で使うだけだし、停電は年に1回もないので、ノートPCをサーバーにする発想はありませんでした。
自宅ではノートPCをサーバーにしてバッファローのLS-250GLも使っていますが…。
ともかく、NASを入れるとしてもユーザー管理機能が限定されているLS-L250GLでなく、最低でもLS-250GLのほうを選んだほうがいいと思います。
あと、ルーター内のLANであれば、NASのセキュリティレベルの心配以前に、まずはルーターとクライアントPC側の設定/運用の徹底が前提かと。
NASだとパッチ当てとかの手間があまりかかりませんが、WindowsOSだとどうしても毎月恒例行事がありますし。
LinuxサーバーならWindowsよりは手間かからないかもしれませんが、それでもやはり脆弱性が見つかってモジュールをVerUpしなくてはならないこともあります。なので安価なサーバーを入れても、導入後の手間はNASとはだいぶ違うのではと思います。
それにしても、業務でノートPCをサーバーに利用している方が意外に多いというのを、改めて認識しました。
うちの会社はバッファローのNASのようなもの(実際はAD認証ができる10数万のRAID1のWindows Starage serverのもの)は補完的に特定部門で使うだけだし、停電は年に1回もないので、ノートPCをサーバーにする発想はありませんでした。
自宅ではノートPCをサーバーにしてバッファローのLS-250GLも使っていますが…。
ともかく、NASを入れるとしてもユーザー管理機能が限定されているLS-L250GLでなく、最低でもLS-250GLのほうを選んだほうがいいと思います。
あと、ルーター内のLANであれば、NASのセキュリティレベルの心配以前に、まずはルーターとクライアントPC側の設定/運用の徹底が前提かと。
えーと
(だんだん苦しくなってきております^_^;)
DELLのノートPCが598と見て目を輝かせていらしたので、そしてこの手の話をしたら態度硬化? し、結局ノート3台+既存の3台 になりそうです。
NASだってOK出るかどうか。。。
一応PCはリースにするつもりですが。
で何を守るかはただ一つ、患者情報、これに尽きます。
これだけは信用問題、訴訟にもなり得るので死守。絶対流出はさせられない。といっても「ご予算で可能な限りの対策」までですが。。。
あとデータベースは、飛んでもらっては困ります。システム復旧は簡単ですが、入力がただごとでないので。。。
OSが飛んでもあちらのワードやらエクセルやらの業務データが飛んでも、それはこの際知りません(その方が綺麗にできていいかも。。。)。
すなぽん 〓ω〓さんがまとめなおしてくださいましたが(ありがとうございます)、スタッフは「信頼」はできますがセキュリティ対策については無知同様なのでその意味で「信用」はできません。
また事務所が無人になる時間も(営業中)かなりあり得るので、万一の盗難時の対策も一応は考えます、コストの範囲で。。。
インターネットは、メールはかなり活発に使われているので、またWebも使っているはずなので、基本的には、つないであげたい。ただ無理そうなら新規のマシンを物理的に分離して別LANにすることは提案できると思います。
* * *
それで皆さんのアドバイスを読んでふと思いましたが、
NASも外部ドライブとして見えるから、どれかのPCからウイルススキャンはできることになりますよね?
それで少しだけ解決しそうです。
各PCには「例の安いの」のウイルススキャナを入れるつもりなので、それで何とか。。。あとStingerの使い方は教えてタスクで自動起動して定期的にやってもらい。。。
残るは不正アクセス。。。
思いつきですが、
NAS−−−+
PC−−−−+
PC−−−−+
PC−−−−+−−−PC−−−ルーターー−−−internet
↑ICS+ファイヤウォール
(各PCにはウイルススキャナとパーソナルファイヤウォール)
なんてだめでしょうか?
で退社時はNASの電源は落としてもらう。PCの電源は今でも切っているとは思いますが。。。
といってもNAS買ってもらえなければ、否応無くノートをサーバーにすることになりそうですが。。。
HDDのデータは、暗号化を考えます。NTFSの暗号化機能でいいかなぁと。。。(それ以上経済的にも私の能力的にもちょっと現実的でないので。。。)
そういえば、Windowsの各アカウントのデスクトップやマイドキュメント、Document and settings/アカウント名 以下は、そのアカウントでログインしないと読めなくて、特殊な操作をしないとディスクを他に外付けしても読めない、という仕掛けがあったと思うのですが、この仕組みでも何とかなりそうに思えますが。。。
とにもかくにも「金は無い」ということで、ただ知人でもあるので、できないものはできないと言う事はできるので、落としどころを探っています。。。
(だんだん苦しくなってきております^_^;)
DELLのノートPCが598と見て目を輝かせていらしたので、そしてこの手の話をしたら態度硬化? し、結局ノート3台+既存の3台 になりそうです。
NASだってOK出るかどうか。。。
一応PCはリースにするつもりですが。
で何を守るかはただ一つ、患者情報、これに尽きます。
これだけは信用問題、訴訟にもなり得るので死守。絶対流出はさせられない。といっても「ご予算で可能な限りの対策」までですが。。。
あとデータベースは、飛んでもらっては困ります。システム復旧は簡単ですが、入力がただごとでないので。。。
OSが飛んでもあちらのワードやらエクセルやらの業務データが飛んでも、それはこの際知りません(その方が綺麗にできていいかも。。。)。
すなぽん 〓ω〓さんがまとめなおしてくださいましたが(ありがとうございます)、スタッフは「信頼」はできますがセキュリティ対策については無知同様なのでその意味で「信用」はできません。
また事務所が無人になる時間も(営業中)かなりあり得るので、万一の盗難時の対策も一応は考えます、コストの範囲で。。。
インターネットは、メールはかなり活発に使われているので、またWebも使っているはずなので、基本的には、つないであげたい。ただ無理そうなら新規のマシンを物理的に分離して別LANにすることは提案できると思います。
* * *
それで皆さんのアドバイスを読んでふと思いましたが、
NASも外部ドライブとして見えるから、どれかのPCからウイルススキャンはできることになりますよね?
それで少しだけ解決しそうです。
各PCには「例の安いの」のウイルススキャナを入れるつもりなので、それで何とか。。。あとStingerの使い方は教えてタスクで自動起動して定期的にやってもらい。。。
残るは不正アクセス。。。
思いつきですが、
NAS−−−+
PC−−−−+
PC−−−−+
PC−−−−+−−−PC−−−ルーターー−−−internet
↑ICS+ファイヤウォール
(各PCにはウイルススキャナとパーソナルファイヤウォール)
なんてだめでしょうか?
で退社時はNASの電源は落としてもらう。PCの電源は今でも切っているとは思いますが。。。
といってもNAS買ってもらえなければ、否応無くノートをサーバーにすることになりそうですが。。。
HDDのデータは、暗号化を考えます。NTFSの暗号化機能でいいかなぁと。。。(それ以上経済的にも私の能力的にもちょっと現実的でないので。。。)
そういえば、Windowsの各アカウントのデスクトップやマイドキュメント、Document and settings/アカウント名 以下は、そのアカウントでログインしないと読めなくて、特殊な操作をしないとディスクを他に外付けしても読めない、という仕掛けがあったと思うのですが、この仕組みでも何とかなりそうに思えますが。。。
とにもかくにも「金は無い」ということで、ただ知人でもあるので、できないものはできないと言う事はできるので、落としどころを探っています。。。
データが飛んだら・・といっても、1日前のバックアップデータに戻せばいい程度なら、
リアルタイムでのデータ保護に神経質になる必要はないですね。
(コメント6を前提)
バックアップデータをパスワードによる暗号化して保護しておけば、
ディスクごと暗号化したメインデータが盗難に遭おうがぶっ壊れようが、
数時間で1日前にで復旧できるわけだし。
ウィルス感染でデータが削除されようが壊されようが、1日前の完全なデータに
戻ればいいなら、ウィルスチェックとバックアップのタイミングを工夫すればいい。
NASを毎日ON/OFFすること=手軽に持ち出せる環境なので、
電源はつけっぱなしで構わないから、せめて、
HUBとNASをつないでいるLANケーブルのHUB側を
引っこ抜くようにして、NASは手の届かないところに隔離してくださいな(^^;
もっとも、ノートPCをサーバーがわりにしたところで、
「ちょっと持って帰って仕事するわ」といって持って帰られたらおしまいなので、
チェーンでつなぎとめておく必要があるかもしれませんが。
ドロボウさんと、無邪気な職員の両方を想定しないといけませんねぇ。
リアルタイムでのデータ保護に神経質になる必要はないですね。
(コメント6を前提)
バックアップデータをパスワードによる暗号化して保護しておけば、
ディスクごと暗号化したメインデータが盗難に遭おうがぶっ壊れようが、
数時間で1日前にで復旧できるわけだし。
ウィルス感染でデータが削除されようが壊されようが、1日前の完全なデータに
戻ればいいなら、ウィルスチェックとバックアップのタイミングを工夫すればいい。
NASを毎日ON/OFFすること=手軽に持ち出せる環境なので、
電源はつけっぱなしで構わないから、せめて、
HUBとNASをつないでいるLANケーブルのHUB側を
引っこ抜くようにして、NASは手の届かないところに隔離してくださいな(^^;
もっとも、ノートPCをサーバーがわりにしたところで、
「ちょっと持って帰って仕事するわ」といって持って帰られたらおしまいなので、
チェーンでつなぎとめておく必要があるかもしれませんが。
ドロボウさんと、無邪気な職員の両方を想定しないといけませんねぇ。
55 まこと@純情派 さんのご指摘の通り、
主張が反転していました^_^;
済みません。
NASがあったとしても、データは、どこか別なマシンにもコピーを取ります。
これはこれで問題ですが、仕方ないので。
もともとなんでNASかと言えば、専用に・または安定性のあるマシンをサーバーにできないからです。予算の関係で。。。
で、この場合のサーバーは、ファイルサーバーで足ります。
それで、NASは感染、攻撃に対してどうなのかなー、と思ったわけです。自分でいじるのは初なので。
ただ、単なる外部メディアということだと、接続しているマシンと一蓮托生なので、前日前の状態には復旧はすぐできるとはいえ、うれしくはない。ので、独立してファイルサーバーになるNASが選択肢になったわけです。
で、予算ですが、40とか60とか言ったら、無理と言われると思います。
総額で30までくらいが限界と先方の懐探っています。
だからすごーくプアーな環境でなんとかするしかないわけですT_T)
私がやれなければ、多分、こういうのは当面また入れられないんではないかと。。。
ちなみに、彼女(その道では名のある看護師・社長ですが)たちは今まで、ワードやエクセルで月々必要な書類を作っていて、何度もなんども転記してはチェックし訂正し、していたそうです。
今でも介護保険関連の事業所では、そういうところ、思いのほかあるかも知れません。
で、私が以前自分の職場のために自作したものを、素人の他人さんでも使えるように作り直して。。。ということになったわけなのです。
私自身、皆さんほどこの道には詳しくないわけなのですが、
ただ、いまどきの小規模な医療や介護系の事業所は、少なからずこんなものです。
これをうまくやれると、いろんな意味で道も拓ける、かなーと。。。
* * *
ちなみにロータスアプローチは、マイナーですが、非常に良くできたソフトだと私は思います。
無茶な設計や操作はできないようになっていますし、確かにデータベースファイルがテーブル毎に別になりますが、私はこの方が扱い易いです。個人的嗜好ですが。データベースにパスワードを設定することは可能ですし、暗号化もOSの機能でできるかも知れません。
何よりAccessは高くて、これもご予算が。。。^_^;
あと同時アクセスについては、一言で表現する言葉を忘れましたが^_^; 参照は複数から可能で、変更は一人のユーザーのみ許可、がデフォルトです。早いもの勝ちで最初に編集モードに入ったユーザーが編集権限を得るということになるようです。いずれにせよ、同時使用は当面せいぜい2,3人までになり、またシステムの性質上、同じ人のデータを同時にいじることはごく少ないので、万一私が勘違いしていても、その点では大丈夫。。。そうです。
主張が反転していました^_^;
済みません。
NASがあったとしても、データは、どこか別なマシンにもコピーを取ります。
これはこれで問題ですが、仕方ないので。
もともとなんでNASかと言えば、専用に・または安定性のあるマシンをサーバーにできないからです。予算の関係で。。。
で、この場合のサーバーは、ファイルサーバーで足ります。
それで、NASは感染、攻撃に対してどうなのかなー、と思ったわけです。自分でいじるのは初なので。
ただ、単なる外部メディアということだと、接続しているマシンと一蓮托生なので、前日前の状態には復旧はすぐできるとはいえ、うれしくはない。ので、独立してファイルサーバーになるNASが選択肢になったわけです。
で、予算ですが、40とか60とか言ったら、無理と言われると思います。
総額で30までくらいが限界と先方の懐探っています。
だからすごーくプアーな環境でなんとかするしかないわけですT_T)
私がやれなければ、多分、こういうのは当面また入れられないんではないかと。。。
ちなみに、彼女(その道では名のある看護師・社長ですが)たちは今まで、ワードやエクセルで月々必要な書類を作っていて、何度もなんども転記してはチェックし訂正し、していたそうです。
今でも介護保険関連の事業所では、そういうところ、思いのほかあるかも知れません。
で、私が以前自分の職場のために自作したものを、素人の他人さんでも使えるように作り直して。。。ということになったわけなのです。
私自身、皆さんほどこの道には詳しくないわけなのですが、
ただ、いまどきの小規模な医療や介護系の事業所は、少なからずこんなものです。
これをうまくやれると、いろんな意味で道も拓ける、かなーと。。。
* * *
ちなみにロータスアプローチは、マイナーですが、非常に良くできたソフトだと私は思います。
無茶な設計や操作はできないようになっていますし、確かにデータベースファイルがテーブル毎に別になりますが、私はこの方が扱い易いです。個人的嗜好ですが。データベースにパスワードを設定することは可能ですし、暗号化もOSの機能でできるかも知れません。
何よりAccessは高くて、これもご予算が。。。^_^;
あと同時アクセスについては、一言で表現する言葉を忘れましたが^_^; 参照は複数から可能で、変更は一人のユーザーのみ許可、がデフォルトです。早いもの勝ちで最初に編集モードに入ったユーザーが編集権限を得るということになるようです。いずれにせよ、同時使用は当面せいぜい2,3人までになり、またシステムの性質上、同じ人のデータを同時にいじることはごく少ないので、万一私が勘違いしていても、その点では大丈夫。。。そうです。
まず医療情報の件ですが、情報の取り扱いにガイドラインがありませんでしたっけ?特に電子申請などの関係でめまぐるしく変化しているのが現状です。確か、インターネットに接続するマシンとカルテなどの情報を扱うマシンは別にしろという内容だったと思いますよ。
もしカルテであればDBの保持も本気で考えなければ、紛失などの場合は確か懲役刑か罰金50万円くらいだったと記憶しています。医療は特殊な分野なんです。
私も記憶が定かではないので、少し調査することをお勧めします。
未だになぜNASなのか納得いかないところです。
一蓮托生だったらNASが壊れたらどうするの?シングルポイントである点は何も変わりません。NAS自体を持っていかれるという認識はありますか?
通常運用はマシン、バックアップをNASなら解るのですが何故、逆なのですか?NASの品質を過信しすぎているのではないかと思います。
暗号化?どこを暗号化するのですか?NASでやるならNASの中を暗号化しないといけませんよね?中身はLinuxだからファイルシステム違いますよね?
それとロータス。コストの理由で聊か時代遅れなものを導入するというのもどうかと。確かVistaでは動かなかったような?今後どうするかも検討されたほうが良いでしょう。
どの程度のシステムになるのかはわかりませんが。
今時、SQLServer2005Expressだってタダですよ。
システム設計にしろ、機器選定にしろ、セキュリティにしろ、本質を見誤っているという風にしか思えないのですが?
辛口意見ですみません。
もしカルテであればDBの保持も本気で考えなければ、紛失などの場合は確か懲役刑か罰金50万円くらいだったと記憶しています。医療は特殊な分野なんです。
私も記憶が定かではないので、少し調査することをお勧めします。
未だになぜNASなのか納得いかないところです。
一蓮托生だったらNASが壊れたらどうするの?シングルポイントである点は何も変わりません。NAS自体を持っていかれるという認識はありますか?
通常運用はマシン、バックアップをNASなら解るのですが何故、逆なのですか?NASの品質を過信しすぎているのではないかと思います。
暗号化?どこを暗号化するのですか?NASでやるならNASの中を暗号化しないといけませんよね?中身はLinuxだからファイルシステム違いますよね?
それとロータス。コストの理由で聊か時代遅れなものを導入するというのもどうかと。確かVistaでは動かなかったような?今後どうするかも検討されたほうが良いでしょう。
どの程度のシステムになるのかはわかりませんが。
今時、SQLServer2005Expressだってタダですよ。
システム設計にしろ、機器選定にしろ、セキュリティにしろ、本質を見誤っているという風にしか思えないのですが?
辛口意見ですみません。
はじめまして。お邪魔します。
私は46.UM@外神田。さんの意見に賛成です。
システム構成や機器の機能、使用、コストなどを検討されていますが、
その前段階の、守るべき資産、その価値、資産に対する脅威、リスク、法律やガイドラインを
洗い出したほうが良いかと思います。
(結果は、mixiには載せられないでしょうけれど)
そのうえでシステムや機能を検討し、必要なものを決めていくべきです。
コストダウンは決めた枠内でセキュリティや機能とトレードオフでおこなうものです。
もちろん、うまい方法でコストダウンすることもありえます(いわゆる知恵の出しどころ)。
ちなみに、一度「訪問看護ステーション」というところにお邪魔したことがあります。
そのときの印象で考えると、外部からの不正アクセス以上に
・ 職員の誤操作(間違えてDBを消す、不正なソフトのインストールなど)
・ 盗難、火災、災害
の2点が脅威としてあげられると思います。
私は46.UM@外神田。さんの意見に賛成です。
システム構成や機器の機能、使用、コストなどを検討されていますが、
その前段階の、守るべき資産、その価値、資産に対する脅威、リスク、法律やガイドラインを
洗い出したほうが良いかと思います。
(結果は、mixiには載せられないでしょうけれど)
そのうえでシステムや機能を検討し、必要なものを決めていくべきです。
コストダウンは決めた枠内でセキュリティや機能とトレードオフでおこなうものです。
もちろん、うまい方法でコストダウンすることもありえます(いわゆる知恵の出しどころ)。
ちなみに、一度「訪問看護ステーション」というところにお邪魔したことがあります。
そのときの印象で考えると、外部からの不正アクセス以上に
・ 職員の誤操作(間違えてDBを消す、不正なソフトのインストールなど)
・ 盗難、火災、災害
の2点が脅威としてあげられると思います。
既存のPCのうち、HDDがCとDの二つにパーティションが切られているものがあるだろうから、
そいつのDドライブ内に共有フォルダを作ればいいだけ。
アクセス権限とバックアップ方法については、また別途ご相談。
新規ディスク、ドライブ、サーバーの類は、この際、購入禁止。
理由=本質的なセキュリティ問題以外に目がいって、致命的な問題を見逃すから。
少なくとも、現状のエクセルファイルや、Approachのデータベースファイルなど、
980円のUSBフラッシュメモリや、もしかするとフロッピーディスクでも、
誰でも簡単に「お持ち帰り」できるし、
メールでもYAHOOメッセンジャーでも簡単に外部に送信できるし、
その漏えい対策は、「従業員のモラル」と「従業員の無知さ」だけでかろうじて
セキュリティが保たれていることに、クライアントの責任者が気づくべき。
ま、お商売人なら、それを気づかせるところから始めて、情報資産の価値と
リスクについて評価してからしか、「システム」を組むべきではない。
タダでシステムを組んであげたとしても、何かあったら重大な責任をかぶるので、
中途半端なシステムなど組むべきではない。
「生兵法は怪我のもと」です。
そいつのDドライブ内に共有フォルダを作ればいいだけ。
アクセス権限とバックアップ方法については、また別途ご相談。
新規ディスク、ドライブ、サーバーの類は、この際、購入禁止。
理由=本質的なセキュリティ問題以外に目がいって、致命的な問題を見逃すから。
少なくとも、現状のエクセルファイルや、Approachのデータベースファイルなど、
980円のUSBフラッシュメモリや、もしかするとフロッピーディスクでも、
誰でも簡単に「お持ち帰り」できるし、
メールでもYAHOOメッセンジャーでも簡単に外部に送信できるし、
その漏えい対策は、「従業員のモラル」と「従業員の無知さ」だけでかろうじて
セキュリティが保たれていることに、クライアントの責任者が気づくべき。
ま、お商売人なら、それを気づかせるところから始めて、情報資産の価値と
リスクについて評価してからしか、「システム」を組むべきではない。
タダでシステムを組んであげたとしても、何かあったら重大な責任をかぶるので、
中途半端なシステムなど組むべきではない。
「生兵法は怪我のもと」です。
皆さんはじめまして。
イキナリ変な方向から(?)突っ込みいれてみます。すいません。
>6
>ぶっちゃけ、クライアントさんは訪問看護ステーションです。
>60
>ちなみに、彼女(その道では名のある看護師・社長ですが)たちは
>50
>インターネットは、メールはかなり活発に使われているので、またWebも使っ
>ているはずなので、基本的には、つないであげたい。ただ無理そうなら新規のマ
>シンを物理的に分離して別LANにすることは提案できると思います。
私の読解力不足かもしれませんが、こういう話が出てくる時点で要件をもう少し整理した方が良い様に思いました。
以下、勝手な憶測を交えて提案してみます。間違ってたらチョー恥ずかしいけど私の為に(ぉぃ)突っ込んでクダサイ(*/_|*)
使用者は訪問看護ステーションの運営者ならびに従業員として。。。
前提1、NASを採用したい理由
- 複数のPCからカルテ等の「患者情報」を共有したい。
前提2、ADSLでINTERNET接続したい理由
- メールで訪問看護先と事務所間の連携を図りたい。
- Webで医療情報を検索したい。
前提3、前提1、2 は分離可能かつ全社員に1つのPCを割り当てる必要がない
追加判定点)メール内に「患者情報」に属するモノがある?
上記前提があるのならばWEB接続用とカルテ類記載用のPCを分離してLAN(というか鯖)とADSLの物理接続を絶つことが可能ではないでしょうか?
そして、追加判定で「患者情報を含まない」ならば訪問看護時の持ち出し端末は各自の携帯に出来ますよね?(パケット代は平均使用量を計算して支給とかが必要になりますが、相手が社長さんならその辺込みで話し出来ますよね?)
外部からの通信で患者情報がばりばり入る場合は、今の予算では無理としか。。。
後、69/76のExel案に賛成です。(Lotusに同様の機能があるなら、そっちでも可)
1、社長さんのPCを鯖として、当日分のシートを毎日共有ブックで作成する。
(っていうか雛形用意しといて毎日コピーする)
2、社長さんは1日の終わりに記載完了したシートを過去記録と統合する。
3、過去記録(当日以外のExelファイル)を参照する必要がある場合は読み
取り専用で共有する。
4、WEB用PC以外は持ち出せない様に固定し、社内に外部記憶媒体を持ち込ませない。
5、余るならお金と時間は全員のセキュリティと社長さんへの教育に使う。
(セキュリティの観点から毎日ファイル統合しなきゃいけない理由とか)
提案構成
===========================================
#患者情報(カルテ?)記載システム(仮)
-社長用PC(鯖)
|
|-個人用(共有?)編集端末
|-個人用(共有?)編集端末
|-個人用(共有?)編集端末
* 全マシンにBIOS/HDDパスワードとワイヤーロック以上の強固な固定を必須とする。
* 特に鯖になる社長PCは1分起動スクリーンセーバーによるパスワードロック
も必須とする。
* 可能であれば全内容と通信に暗号化を行う。
* 編集が必要な情報以外は全て読み取り専用での共有とする。
* 編集用PCに複製ファイルを作らせない。(OSが勝手に作る一時ファイルを除く)
* バックアップは暗号化可能なUSBメモリ辺りに入れて鍵のかかる場所に入れる
かなくしても責任が取れる社長さんに物理的に繋ぐ。(首から下げるとか)
-----ここでネットワークは物理的に分離------
#連絡/情報検索システム(仮)
--Web/メール専用端末
|-Web/メール専用端末
|
ルータ/ADSL
|
INTERNET
|
|-携帯メールなど
--医療系情報サイト
* 「患者情報」は送信しないか、外部の人間に分からない「社内暗号」で
やり取りして、通信が終わった段階で毎回削除する。
(でもマンパワーセキュリティはちょっと怖いっす。)
* メールで私的な内容もやり取りOKにしたいなら共用で個人パスワードが
られるメールクライアントを採用
===========================================
こんなのじゃダメですか?
# はぅ。余計な事書いたら2000字超えてた。長文ごめんなさい。
イキナリ変な方向から(?)突っ込みいれてみます。すいません。
>6
>ぶっちゃけ、クライアントさんは訪問看護ステーションです。
>60
>ちなみに、彼女(その道では名のある看護師・社長ですが)たちは
>50
>インターネットは、メールはかなり活発に使われているので、またWebも使っ
>ているはずなので、基本的には、つないであげたい。ただ無理そうなら新規のマ
>シンを物理的に分離して別LANにすることは提案できると思います。
私の読解力不足かもしれませんが、こういう話が出てくる時点で要件をもう少し整理した方が良い様に思いました。
以下、勝手な憶測を交えて提案してみます。間違ってたらチョー恥ずかしいけど私の為に(ぉぃ)突っ込んでクダサイ(*/_|*)
使用者は訪問看護ステーションの運営者ならびに従業員として。。。
前提1、NASを採用したい理由
- 複数のPCからカルテ等の「患者情報」を共有したい。
前提2、ADSLでINTERNET接続したい理由
- メールで訪問看護先と事務所間の連携を図りたい。
- Webで医療情報を検索したい。
前提3、前提1、2 は分離可能かつ全社員に1つのPCを割り当てる必要がない
追加判定点)メール内に「患者情報」に属するモノがある?
上記前提があるのならばWEB接続用とカルテ類記載用のPCを分離してLAN(というか鯖)とADSLの物理接続を絶つことが可能ではないでしょうか?
そして、追加判定で「患者情報を含まない」ならば訪問看護時の持ち出し端末は各自の携帯に出来ますよね?(パケット代は平均使用量を計算して支給とかが必要になりますが、相手が社長さんならその辺込みで話し出来ますよね?)
外部からの通信で患者情報がばりばり入る場合は、今の予算では無理としか。。。
後、69/76のExel案に賛成です。(Lotusに同様の機能があるなら、そっちでも可)
1、社長さんのPCを鯖として、当日分のシートを毎日共有ブックで作成する。
(っていうか雛形用意しといて毎日コピーする)
2、社長さんは1日の終わりに記載完了したシートを過去記録と統合する。
3、過去記録(当日以外のExelファイル)を参照する必要がある場合は読み
取り専用で共有する。
4、WEB用PC以外は持ち出せない様に固定し、社内に外部記憶媒体を持ち込ませない。
5、余るならお金と時間は全員のセキュリティと社長さんへの教育に使う。
(セキュリティの観点から毎日ファイル統合しなきゃいけない理由とか)
提案構成
===========================================
#患者情報(カルテ?)記載システム(仮)
-社長用PC(鯖)
|
|-個人用(共有?)編集端末
|-個人用(共有?)編集端末
|-個人用(共有?)編集端末
* 全マシンにBIOS/HDDパスワードとワイヤーロック以上の強固な固定を必須とする。
* 特に鯖になる社長PCは1分起動スクリーンセーバーによるパスワードロック
も必須とする。
* 可能であれば全内容と通信に暗号化を行う。
* 編集が必要な情報以外は全て読み取り専用での共有とする。
* 編集用PCに複製ファイルを作らせない。(OSが勝手に作る一時ファイルを除く)
* バックアップは暗号化可能なUSBメモリ辺りに入れて鍵のかかる場所に入れる
かなくしても責任が取れる社長さんに物理的に繋ぐ。(首から下げるとか)
-----ここでネットワークは物理的に分離------
#連絡/情報検索システム(仮)
--Web/メール専用端末
|-Web/メール専用端末
|
ルータ/ADSL
|
INTERNET
|
|-携帯メールなど
--医療系情報サイト
* 「患者情報」は送信しないか、外部の人間に分からない「社内暗号」で
やり取りして、通信が終わった段階で毎回削除する。
(でもマンパワーセキュリティはちょっと怖いっす。)
* メールで私的な内容もやり取りOKにしたいなら共用で個人パスワードが
られるメールクライアントを採用
===========================================
こんなのじゃダメですか?
# はぅ。余計な事書いたら2000字超えてた。長文ごめんなさい。
>* 編集用PCに複製ファイルを作らせない。(OSが勝手に作る一時ファイルを除く)
ロータスにしろ、エクセルにしろ、作業用の一時ファイルはローカルPCの所定のフォルダに
置かれるから、ローカルPCが盗難にあった場合は、少なからずデータが漏えいします。
(ネットワーク上のディスクに作業ファイルを置くように設定変更するのは簡単だけど、
レスポンスが遅くなるし、今回の機器構成では推奨できない。)
本当に電子カルテのデータベースを扱うつもりなら、
クライアントPCの終了時に、作業ファイルを置くフォルダ内のファイルを完全消去する
ソフトを入れておくべきでしょう。
まぁ、今のところ、そういうことへの配慮以前のところなんだけど。
ロータスにしろ、エクセルにしろ、作業用の一時ファイルはローカルPCの所定のフォルダに
置かれるから、ローカルPCが盗難にあった場合は、少なからずデータが漏えいします。
(ネットワーク上のディスクに作業ファイルを置くように設定変更するのは簡単だけど、
レスポンスが遅くなるし、今回の機器構成では推奨できない。)
本当に電子カルテのデータベースを扱うつもりなら、
クライアントPCの終了時に、作業ファイルを置くフォルダ内のファイルを完全消去する
ソフトを入れておくべきでしょう。
まぁ、今のところ、そういうことへの配慮以前のところなんだけど。
セキュリティ関連は、結構、知識があればあるだけ、いろんな手が打てるようになる変わりに、知識がないと、コストとリスクのバランスをとることができない(リスクを見逃してしまう)と思うところです。
なので、もし、よくわからないようであれば、ネットワークは、確実に、物理的に分割してしまったほうがよいと思われます。
# まぁ、「内部LAN用端末」と、「外部にも出れる端末」に分けて設置すると、恐ろしく不便そうではある・・・・十分な数を用意しようとすると、それだけで結構な数の端末が必要になっちゃうし。
ふと、なんか、てきとーな仮想化ソフトを導入して、仮想化ソフト内のゲスト側OSからのみ、内部LAN側が見える(もちろん、ホストOS側へのコピー類の操作は全部できないようにする)にはとゆーのはどうだろうか。すべての端末にLANのポートを2つ持つようにして。
# やすい、適当な仮想化ソフトと、ゲストOSがないと、無駄に高コスト・・・
なので、もし、よくわからないようであれば、ネットワークは、確実に、物理的に分割してしまったほうがよいと思われます。
# まぁ、「内部LAN用端末」と、「外部にも出れる端末」に分けて設置すると、恐ろしく不便そうではある・・・・十分な数を用意しようとすると、それだけで結構な数の端末が必要になっちゃうし。
ふと、なんか、てきとーな仮想化ソフトを導入して、仮想化ソフト内のゲスト側OSからのみ、内部LAN側が見える(もちろん、ホストOS側へのコピー類の操作は全部できないようにする)にはとゆーのはどうだろうか。すべての端末にLANのポートを2つ持つようにして。
# やすい、適当な仮想化ソフトと、ゲストOSがないと、無駄に高コスト・・・
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ネットワーク&セキュリティ 更新情報
ネットワーク&セキュリティのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 大人のmixi【おとミク】
- 6474人
- 2位
- 食べ物写真をつい撮ってしまう人
- 19244人
- 3位
- 写真を撮るのが好き
- 208299人