セキュリティ・アセスメント支援

医療情報ガイドライン（3省2ガイドライン）に記載されているセキュリティ対策の要求事項について、メディエイドが保有するセキュリティチェック・テンプレートを活用して、これから開発されようとしているシステム、もしくは現在運用中のシステムに対するセキュリティ対策状況のセキュリティ・アセスメントを行います。

セキュリティ設計支援

セキュリティ・アセスメントにおいて発見された、システムとして必要とセキュリティ対策を行うため、すでに稼働しているシステムがある場合には必要となる具体的なセキュリティ対策案の提示を、新たにシステム構築を行う場合にはアプリケーション開発における視点、クラウド環境における視点、システム運用やシステムを取り巻くルール（契約や体制等）の視点からの対策案をご提示します。
また案の提示にとどまらず、アプリケーションやクラウドへのセキュリティ設計の支援を行うことも可能です。

ドキュメント作成支援

セキュリティ対策状況を公開するために作成する「サービス仕様適合開示書」や、セキュリティ設計における設計書などの関連ドキュメントの作成を行います。

利用規約やサービス契約書等の作成支援

薬事に詳しい弁護士と連携をし、薬事法やガイドラインなどを踏まえて、提供するサービスのスキームやシステム構成などを踏まえ、利用規約やサービス契約書などの作成支援、もしくはチェックなどの対応をいたします。

プライバシーマーク取得支援

医療情報ガイドラインでも取得が求められているMedisの「プライバシーマーク」について、プライバシーマーク取得コンサルタントとの連携をしつつ、医療情報ガイドラインチェックと合わせ、プライバシーマーク取得において必要な点についてもチェックし、フィードバックをさせていただく支援をさせていただきます。

脆弱性診断支援

医療情報ガイドラインでは、運用中のシステムもしくは構築したシステムに対して、外部からの攻撃への対策が適切に開発・設定されているかどうかをチェックするため、第三者機関による「脆弱性診断」を実施することが求められています。
脆弱性診断を実施する際には、診断実施機関に対しての情報提供や、診断結果を受けてのシステム変更が必要となりますが、試験対象の整理や診断結果を受けた対策方法の検討支援を行います。

セキュリティ対策支援

運用中のシステムに対するセキュリティ対策として、WAF（Web Application Firewall）（*1）やIDS/IPS（Intrusion Detection System/Intrusion Prevention System）（*2）、ファイル無害化システム（*3）等のセキュリティソリューションの導入・運用を求められるケースもあります。当社ではセキュリティ対策の経験を踏まえまして、これらのセキュリティソリューションの導入や、インフラやアプリケーションを含めたクラウド環境全体に対する障害等のシステム監視運用までトータル的に支援させていただきます。

• 主に、ユーザーからの入力を受け付けたり、リクエストに応じて動的なページを生成したりするタイプのWebサイトを不正な攻撃から守ります。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できるのが特徴です。
• IDSは不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。異常を検出した場合には、管理者へ通知を行いますので管理者はこの通知を受けとって、異常な通信をブロックするなどセキュリティを確保するための対処をするきっかけ（トリガー）とすることができます。またIPSは不正侵入防止システムとも呼ばれるセキュリティ確保の仕組みです。IPSは、IDSに異常を検知した場合の対処として通信のブロックを行う機能を付加した仕組みです。IDSでは異常な通信を見つけた際には管理者へ通知していましたが、IPSは通知するだけではなく、その通信を遮断するところまでの対応を行います。医療情報ガイドラインにおいて導入を要求されています。
• システムに対する外部からのファイルの入力において、不正なソフトウェアがアップロードされることを防止する仕組みです。アップロードされたファイルの内容を精査して、ファイルとして本来不要なプログラム処理などを排除するなどの処置を行い、悪意のあるコードがない状態のファイルとしてシステムに受け渡すことで、システムへのアップロード後に悪意のあるコードにより引き起こされる可能性のあるシステム破壊や情報漏洩等の攻撃を防止する事が可能です。「民間PHR事業者による健診等情報の取扱いに関する基本的指針」において導入を要求されています。