[orca-users:02041] Re: アドバイ⇒ひとつのアイデア

["IC-TECH LTD" <iccard@xxxxxxxxxxxxxxxx>]

巽先生、

初めまして。協力会社の 山口@IC-TECH と申します。
データーの二重化をベースにシステム構築する場合には、例えば片方のデーターを
NTTコムさんが始めた電子文書保管サービス(SafetyPASS)を利用して、データーを安
全に管理してもらう方法もあると思います。
http://www.safety-pass.com/business/
自前でセキュリティーシステムを設置するのはコストと時間がかかりますが、このシ
ステムはNTTコムさんのインフラを使い、かつセキュリティーの高いICカードで管理
していますから、大元のサーバーは共有しているのですが、他の利用者とは完全に隔
離されています。利用料金も月々１万円程度なのでさほど高くはありません。もし日
本医師会さんが親契約者となり、各地の医師会様がクライアントユーザー（個別ポー
タルがあり、それぞれは隔離されます）となれば利用料金は月々２０００円程度にな
るそうです。
もしご興味がございましたら（弊社は代理店ではありませんので）直接ＮＴＴコムさ
んにお問い合わせいただくのも宜しいかと思います。
担当者様は下記の通りです。
ＮＴＴコミュニケーションズ株式会社
eスマートトラストサービス部
開発営業部門
島田昌和 様
TEL: 03-6800-3570
FAX: 03-5353-5670
masakazu.shimada@xxxxxxx
URL http://www.safety-pass.com/business

ご事情の詳細を理解していないかも知れませんのでピンボケかも知れませんが、もし
何かのお役に立てれば幸いです。



****************************
千葉県松戸市小金原2-6-14
(有)アイシー・テック
山口　卓
TEL: 047-348-6037
FAX: 047-309-4110
iccard@xxxxxxxxxxxxxxxx
URL http://www.iccard.co.jp
****************************





----- Original Message -----
From: "巽　憲一" <tatsucli@xxxxxxxxxxxxxx>
To: <orca-users@xxxxxxxxxxxxxx>
Sent: Friday, October 25, 2002 1:13 PM
Subject: [orca-users:02022] Re: アドバイスを、お願いします


> ありがとうございます。　巽（＠伊丹市医師会）です。
>
> ＯＲＣＡセットの医事専用機としての使用目的は
> 理解しているつもりですが、．．少し欲が．．
> もう少し拡張して、現有システムとの関連を考慮した
> 活用法もあるのではと、思っております。
>
> 医師会システムのセキュリティは、ご指摘の通り
> ルーターとハブの、パケットフィルタリングが主であり、
> いささか心もとない点もある、と思っております。
> （機器と、メンテナンス費用の面より、選択されました）
>
> データサーバー（ＷＥＢサーバーも含め）のメンテナンスは
> 専用線を用いた、オンラインで外注にて行っております。
> ＨＰの修正などもＬＡＮ端末しか、サーバーファイルには
> アクセス権限が無い設定にはなっているのですが．．．
>
> >   LINUX Server が、Firewall も兼ねていて更に完璧だという
> > ことでしょうか。
> ＬＩＮＵＸのＷｅｂサーバーで、Ｆｉｒｅｗａｌｌを形成していおり、
> 外部と、医師会イントラとは、切れてはいるはずですが．．さて？
> 構成図は、一部簡略化しており、申し訳ありません、さすがに丸裸は
> ＯＲＣＡセットに、そこまで機能は求めませんが、出来れば最高ですね．
> 既存のシステムと、ＯＲＣＡセットを関連付ける方法が、
> 何か、存在しないか？？．．と考えております．．．
>
> >   HUB 間に Routing Machine (LINUX Machine)がないのが、
> > 少し引っかかります。
> ご指摘の通りだと、思います。．．まだ、アタックは無いようです
>
> > 日経バイトの特集では、
> > ２００１年４月号の「パケットフィルタリングを極める。」
> > ２００１年６月号の「日経バイトの予算をかけないファイアーウオール
> > の作り方。」
> >   を参考にすると、結論とすると、以下のように思います。
> 参考にさせて頂きますが、．．多分、内容の大半は意味不明だと．．（涙）
>
> >   おそらくは、素人では、メンテナンス出来ない。
> 　　その様な．．神をも恐れぬ妄想は、露ほども抱いておりません．．
>
> >   ６月号の 後者の Linux Machine による、要塞化が、一応は、
> > ＲｏｕｔｉｎｇＭａｃｈｉｎｅによる簡易遮断よりも数段強いということの
> > ようです。
> >
> >   これは、HUB を使って、遮断する予定のWAN/LAN トポロジ
> > ーを、考えるときに、
> >
> >   HUBの前後を囲む形で、Linux FireWall で更にＨＵＢ自体を
> > 隔離します。
> >
> > しかも、Linux Ｆｉｒｅｗａｌｌ Machine 自体が、Web server か、
> > Mial server を兼ねていることも可能であることが、
> >
> >   強みで味噌のようです。
> >
> > 更に最強？？といわれる DMZ(非武装地帯)をどこに置くかは、
> > 任意にどのように考えてもよいらしい。
> >
> >    DMZ だけで、パケットフィルタリングするのは、内部の密通者
> > （情報漏れの、５０％は、内部です。）が、簡単に破ってしまうので、
> > 困るという人には、Log 管理を２重にするというやり方が、あります。
> >
> >   ご提示のトポロジーは、 一見して、公開してある Web Server が、
> > まったく無頓着にぶら下がっているだけで、（NIC 1枚差しのままで）、
> > 危ないと思います。ネットワークカードを2枚差しで、イントラネット側と、
> > WAN 側とで、NIC を使い分けるというやり方が、良いと思います。
>
> > 1.公開サーバーは、 Linux で構成されているとすれば、
> >   非武装地帯を作るために 2 台の Linux Machine で、挟ん
> > で、その中に Web Server を隔離するか、
> >
> > 2.公開 Web Server を隔離するために、単純にイントラネット
> > を分離し、２段の Linux Machine で作ったカスケードで
> > 遮断分離したいですよ。
>
> Ｗｅｂサーバーは、ＬＩＮＵＸですので、ご提案のＮＩＣ２枚刺を
> 検討させて頂きます。　既に、２枚刺の可能性もありますが．．
> Ｌｉｎｘ　２段のカスケードですか．．医師会の予算が下りるかしら？？
>
> >   そして、分離した、奥に 医師会イントラネットを配置します。
> >
> >   非武装地帯をつくっても、ブロード・キャストの IP address
> > 要求で、結局は、危なさは、レベルが違う程度で、完璧では
> > ないけど。
> >
> >   究極の LINUX NIC 3枚差しでの隔離とかあるようですけど、
> > これは、途方もない苦労が、 RedHut Linux 6.x 迄は在った
> > ようですよ。 7.x 、８からは、うまく出来るようです。
> >
> >   debian LINUX で、 NIC ３枚差し による DMZ(非武装地帯）
> >  が直ぐにできるといいですねー。
>
> 素人ながらにも、その様に思います．．Ｄｅｂｉａｎで出来れば
> 現在の案では、ＯＲＣＡセット専用に、ＡＤＳＬ又はＦＴＴＨを
> １回線導入する予定ですが、出来れば１本ですっきりと．．
>
> 早速、業者さんとの検討に入らせて頂きます。
>
> ご指摘と、アドバイスありがとうございます。
>
> _／_／_／_／_／_／_／_／_／_／
>
>  〒　６６４−０８８１
>   　　伊丹市昆陽６丁目６
>  TEL・FAX ０７２７−８１−３４５６
>  　　巽　　医院　　　　　巽　憲一
>  E:mail  tatsucli@xxxxxxxxxxxxxx
>
> _／_／_／_／_／_／_／_／_／_／
>
>