プライバシー、セキュリティ、およびスケーラビリティは、ビデオ通話の基本です。このドキュメントでは、ビデオ通話によるコンサルテーションを大規模に安全かつ非公開にする方法について説明します。
ビデオ通話は、次の 4 つの重要な概念に基づいています。
- プライバシー- 1988 年連邦プライバシー法およびオーストラリアのプライバシー原則に基づいて、個人情報を正しく収集、使用、開示、および保存する義務を定義します。
- セキュリティ- ビデオ通話は不正なアクセスや使用から保護され、そのデータは信頼性が高く、正確で、使用可能です。
- データ主権- オーストラリアのプライバシー規制で義務付けられているように、患者情報を海外に転送してはなりません
- スケーラビリティ– 国家機能としてのビデオ コールはアーキテクチャ的にスケーラブルであり、従来のビデオ会議インフラストラクチャのセットアップを必要とせずに、大量のビデオ コンサルティングを処理できます。
これら 4 つの概念は、ビデオ コールの設計の基本です。そのネットワーク アーキテクチャは、新しい機能が必要な基準を満たし続けることを保証する設計保証プロセスによってカバーされています。
概要
ビデオ コールは、Web リアルタイム コミュニケーション (WebRTC) テクノロジに基づいて構築されています。 WebRTC の組み込みセキュリティは、完全に暗号化された接続を使用します。
ビデオ通話は、サーバーとアプリケーションで構成され、WebRTC テクノロジを介して実行される総合的な遠隔医療エコシステムとして設計されています。
healthdirect Video Call は、該当するオーストラリア政府の情報セキュリティ マニュアル (ISM) Essential Eightベースラインおよび医療保険の相互運用性と責任に関する法律 ( HIPAA ) のサイバー セキュリティ ガイドラインに従い、デジタル フットプリントを残さないことでプライバシーを保護します。
他のビデオ相談プラットフォームは、ビデオ サービス プロバイダーがアクセスできる中央サーバー (通常はオーストラリア国外) に、通話の録音を含む通話の詳細を保存し、インフォームド 患者の同意なしに臨床医をプライバシー法違反のリスクにさらす可能性があります。
WebRTC ベースのシステムを真に安全かつプライベートにするために、追加のセキュリティ対策が適用されています。
- 仮想ルーム、ピア、およびセッションは、ユーザーが通信するための安全な環境を提供します。
- ビデオ コールは、デフォルトでは、個人を特定できる情報や保護対象の健康情報を保存しません。
- 最先端のネットワーク セキュリティにより、盗聴や中間者攻撃を防ぎます。
- 負荷テストとコード レビューにより、高レベルのアプリケーション セキュリティが提供されます。
このページでは、ビデオ コンサルテーションが安全、セキュア、プライベート、スケーラブルであることを保証するためにどのような手順が実行されるかを説明します。
健康レベルのプライバシー、セキュリティ、およびデータ保護は、ビデオ通話の設計の基本です
通話セキュリティ
WebRTC ビデオ通話のメディア トラフィックは、Web ブラウザー間で AES 128 ビットまたは AES 256 ビットの暗号化で保護されます。これは、ビデオ通話などの WebRTC ベースのサービスの標準です。ただし、このセキュリティはピアツーピア コールにのみ適用され、システム インフラストラクチャには適用されません。 WebRTC ビデオ コールのいくつかのインフラストラクチャ要素は攻撃される可能性があり、ビデオ コールはこれらの攻撃ベクトルを阻止するために開発されました。
たとえば、標準の WebRTC 通話暗号化では、通話の両端でユーザーになりすます攻撃者を止めることはできません。シグナリング、アプリケーション、またはリレー (TURN) サーバーのハイジャックを暗号化で防ぐこともできません。
以下から保護するために、主要なプライバシーおよびセキュリティ対策がビデオ通話に適用されています。
- 他人になりすましてオンライン診療所に不正アクセスし、患者を診察する行為。
- ビデオ コール シグナリングまたは TURN サーバーへの不正アクセスを取得するための誰かによる違法な傍受。
- 患者のデバイスまたは監視サーバー上の通話ログにアクセスする第三者による通話履歴の観察。
ビデオ通話のプライバシーとセキュリティ モデルにより、次のことが保証されます。
- 診療所の認可されたサービスプロバイダーと管理者のみが患者にサービスを提供できます。
- すべての患者相談は、プライベートな 1 回限りのビデオ セッションで行うことができます。
- 1 回限りのビデオ セッションは、永続的なビデオ ルームとは区別されます (後者はクリニック内の目的で使用できます)。
- ビデオ通話中またはビデオ ルームで交換された患者データは、診察が終了した後も保持されないか、クリニックが保存することを決定した場合、クリニックのみが利用できる復号化キーを使用して暗号化された方法で保存されます。
- シグナリング サーバーとリレー サーバーは、暗号化されたメディア トラフィックのみを処理します。
- 最先端のセキュリティ設定と手順に従っているため、サーバー インフラストラクチャがハッキングされて、臨床医になりすましたり、診察を受けたりすることはありません。
- アプリケーションのセキュリティを最大化するために、すべてのソフトウェア パッチのピア コード レビューが実施されます。
データセキュリティ
ライブ ビデオ通話だけでなく、すべてのデータが暗号化されます。
Video Call は、サービス プロバイダーの情報とパスワードを Amazon RDS ( Relational Database Service ) に安全に保存します。パスワードは TLS ( トランスポート レイヤー セキュリティ) を使用して送信され、プレーン テキストで保存されることはありません。ビデオ コールは、ハッシュ化およびソルト化されたパスワード ハッシュのみを RDS に保存し、ユーザー認証と承認における現在の業界標準を満たしています。
個人を特定できる、または保護されている健康情報がビデオ通話によって保存されることはありません。
ネットワークセキュリティー
すべてのオーディオ データとビデオ データ、およびライブ ビデオ通話中に交換されるその他すべてのデータは暗号化されます。
ビデオ通話は、すべての接続とその WebRTC 実装に最先端のセキュリティ メカニズムを使用します。ブラウザとアプリケーション サーバー、シグナリング サーバー、または STUN/TURN 間の接続はすべて TLS で暗号化および認証され、強力な暗号化と適切な証明書チェックが行われます。 STUN/TURN ネゴシエーションの TLS 保護により、ビデオ コール通信の再ルーティングが発生しないことが保証されます。
WebRTC 通信のセキュリティは、シグナリング サーバーがブラウザ間通信の暗号化セットアップを容易にすることで強化されます。ブラウザは、すべてのデータ チャネルに対して共有キーを安全に確立します。
アプリケーションのセキュリティ
分散システムとして、ビデオ通話エコシステムのすべてのコンポーネントは攻撃に対して強化されています。
- プロトコル ファジング- シグナリング サーバーはカスタム プロトコルを使用してメッセージを転送するため、プロトコル ファザーを適用して、予期しない動作や望ましくない動作につながるコード パスがないようにします。ビデオ コールのブラウザ実装は、同じプロトコル ファジングを受けています。
- 侵入テスト (侵入テスト) - アプリケーション サーバーと通話監視システムは、侵入を防御するために侵入テストが行われています。ペンテストは定期的に実施されます。
- ブラウザーのセキュリティ– WebRTC はブラウザーをピアツーピアで接続します。プロトコル ファジングは、ビデオ コール ブラウザの実装をテストするために使用されます。
- セキュリティの監視– 通信は一方向でのみ行われます。ブラウザからコール モニタまで。ブラウザはコール モニタに情報を送信するだけです。ブラウザーは、コール モニターから情報を取得したり受信したりすることはできません。通話モニターは、一般的な脅威から防御するために侵入テストとファジングが行われています。
プライバシー
ビデオ通話は、オーストラリア政府のプライバシー ポリシーに準拠しています。
ビデオ コールのインフラストラクチャとサービスは、 1988 年連邦プライバシー法、データ主権に関するオーストラリア プライバシー原則 (セクション 8) 、および可能な限りオーストラリア政府情報セキュリティ マニュアル (ISM)のガイドラインに準拠しています。
ビデオ コール接続は、ピア ツー ピア (中央のビデオ インフラストラクチャを経由しないブラウザ ツー ブラウザ) で行われます。参加者間の実際の通話で共有されるデータは、通話の参加エンドポイントで復号化された形式でのみ利用できます。通話を転送する他のすべての仲介者は、暗号化されたデータのみを見ることができます。これは、オーディオとビデオのデータだけでなく、チャット メッセージやドキュメントなど、セッションで交換されるすべての情報にも適用されます。デフォルトでは、ビデオ通話は通話からの共有データを保存しません。
患者は、信頼できるサービス プロバイダーの Web サイトを介して待合室に入り、専用のビデオ ルームで待機します。たとえば、別の患者との診察に時間がかかってサービス提供者が遅れたとしても、患者同士がぶつかることはありません。ビデオコールで作成したルームは、相談後に削除されます。
患者は、診療所へのアクセスを許可されているサービス プロバイダーまたは診療所管理者が見ることができます。承認は、一意のログインと、プラットフォームで割り当てられた役割によって定義されます。クリニックの管理者は、そのようなアクセス権をスタッフに割り当てる責任があります。
デフォルトでは、ビデオ コールは識別可能な患者情報を保持しません。患者はプラットフォームにデジタルの足跡を残しません。
データ主権
オーストラリアのデータまたはデータ管理がオフショアに移動した場合、オーストラリア国内で管理されなくなり、外国の法律または外国企業の慣行に従うことになります。外国企業によるオーストラリアのデータへのアクセスと管理は、プライバシーとデータを適切に保護するというオーストラリア人の既存の権利を認めていません。
したがって、オーストラリア市民に関する機密データは、外国のエンティティが情報にアクセスできないことを保証できる ASD (オーストラリア信号局) 認定クラウドに保存する必要があります。
ビデオ通話は、ASD の IRAP ( Information Security Registered Assessors Program ) によって認定された AWS ( Amazon Web Services ) クラウド内でのみホスティングするという厳密なアプローチを採用しています。これにより、AWS は ISM (オーストラリア政府情報セキュリティ マニュアル)。
ビデオ通話で、オーストラリアのユーザーは次のことを確認できます。
- 個人の健康データは、オーストラリアの法的管轄内でのみ使用されます。
- すべてのデータ ストレージの限定は、オンショア データ センターに限定されます。
- セキュリティ プロトコルとシステムはオーストラリアで維持され、ASD 要件内に収まっています。
スケーラビリティ
- ピアツーピア呼び出しは、ブラウザーからブラウザーへ、また医療サービス プロバイダーとそのクライアントの間で直接行われます。これにより、中間のビデオ サーバーが回避され、無制限の数の並列呼び出しが可能になります。
- ピアツーピア コールが企業のファイアウォールの背後でスタックすることがあります。この目的のために、中継サーバー (STUN/TURN) を配置して、オーディオ、ビデオ、およびデータ ストリームを企業境界外の受信者に転送します。中継サーバーは、飽和状態になる前にかなりの負荷を処理できますが、スケーラブルな方法で展開することが重要です。ビデオ通話は AWS クラウドにデプロイされているため、リレー サーバーが監視され、より高い負荷が検出された場合は、追加のリレー サーバーが生成され、追加のリレー作業を透過的に引き継ぎます。これは「負荷分散」と呼ばれます。
- シグナリング サーバーはビデオ コールのセットアップに関与するため、スケーラブルなシグナリング インフラストラクチャの展開には特に注意が払われています。ビデオ コール シグナリング サーバーで負荷テストが実施され、数十万の並列コールをサポートすることができました。さらに、シグナリング サーバーのネットワークがさまざまな AWS の場所にデプロイされており、最も近いシグナリング サーバーを選択してコール シグナリングを提供することで、ビデオ コールのエンドポイントとシグナリング サーバー間のレイテンシを短縮しています。
- Web アプリケーションは、アプリケーション サーバーから Web ブラウザに配布されます。多数のユーザーがビデオ コールの使用を開始すると、Web アプリケーション サーバーも非常にビジーになる可能性があります。ビデオ コールには、アプリケーション サーバーの負荷分散が実装されています。
ビデオ通話は、拡張できるように設計されています。すべてのデータベースとサーバー インフラストラクチャは、ステートレス マイクロサービス アーキテクチャを使用して設計されているため、各コンポーネントは耐障害性があり、任意の時点で各サービスの負荷に合わせて個別に水平方向にスケーリングできます。
組織のサポート
- WebRTC ベース- WebRTCコンポーネントは、多くの Web および電気通信業界のセキュリティ専門家の指導とレビューの下で、オープン ソース プロジェクトから Chrome、Firefox、および Safari に実装されています。
- ヘルスケア向けに設計- ビデオ通話環境は定期的に見直され、ヘルスケア向けに最適化されています。他の通信サービスに存在する脆弱性への露出は、ビデオ コールでは制限されています。
- Web 経由で完全にアクセス- ビデオ通話は、最新バージョンの Chrome、Firefox、および Safari で動作するように更新されています (Microsoft Edge のサポートは、blink エンジンに移行する際に計画されています)。これらのブラウザは定期的にセキュリティ アップデートを実行するため、ビデオ コールのアップデートを待つ必要はありません。
- ブラウザーに制限されたアプリケーション- ビデオ コールは Web ブラウザー内で安全に実行され、Web ブラウザーに実装されている標準のセキュリティ対策によって、コンピューターのデスクトップ環境または使用されているモバイル デバイスに影響を与える機能を制限します。
- ネットワーク セキュリティ- ビデオ コールは、デスクトップ、ラップトップ、またはモバイル デバイスからいくつかの標準 HTTPS および安全なメディア ポートにアクセスするだけで済みます。これらの詳細については、リソース センターの「ネットワークの基本」ページを参照してください。
- Web プロキシ サービス- ビデオ コールの Web トラフィックは、既存の Web プロキシ サービスとセキュリティ ポリシーを使用します。
- 通話品質プロファイル- ビデオ通話品質プロファイルを設定することにより、臨床医はネットワーク リンクに対するメディア要求を下げて、特定の制限内にとどめることができます。
- アクセシビリティ- ビデオ通話は、すべてのユーザーのユニバーサル アクセスに取り組んでいるため、すべてのサービス プロバイダーとその患者は可能な限り最高のエクスペリエンスを得ることができます。目の不自由なユーザーをサポートするために、Web アプリケーションはスクリーン リーダーにアクセスでき、ズーム ツールを使用できます。ビデオ通話は、3 方向および 4 方向の通話でも使用できるため、手話通訳者がライブ ビデオ セッションに参加し、聴覚障害のあるユーザーを ASLAN 手話でサポートできます。