部門システム Web 基盤
セキュア実装ガイド

// Spring Security 6.4+ の組み込みパスキー（WebAuthn）または TOTP
// 物理区画（検査室）運用なら ICカード+生体で「二要素相当」も可
http.webAuthn(w -> w.rpName("LIS").rpId("lis.example.jp")
                    .allowedOrigins("https://lis.example.jp"));

// WebAuthn は navigator.credentials.create/get を使用
// MFA 入力画面は通常のフォーム + ワンタイムコード検証 API 呼び出し

@Bean PasswordEncoder encoder() {
  return new BCryptPasswordEncoder(12); // または Argon2PasswordEncoder
}
// 推定不可・運用担当者もパスワードを復元できない（3省2GL 14章⑥）

// AuthenticationFailureHandler で失敗回数を記録、閾値でロック
// アカウント列挙を防ぐため、エラーメッセージは一律にする

server.servlet.session.timeout=15m   # アイドルタイムアウト
# Angular 側でも操作監視 → 一定時間で自動ログアウト + 警告ダイアログ

http.sessionManagement(s -> s.sessionFixation().newSession());
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
server.servlet.session.cookie.same-site=strict

@PreAuthorize("hasRole('TECHNOLOGIST')")
public Result confirmResult(Long id) { ... }
// メソッドセキュリティを有効化：@EnableMethodSecurity

@PreAuthorize("hasRole('DOCTOR') and @resultPolicy.canConfirm(#id, principal)")
// 代行入力は actor（操作者）と subject（責任者）を別々に記録

// id だけでなく「その利用者がアクセスしてよいか」を where 句に含める
repo.findByIdAndDepartment(id, currentUser.getDepartment())
    .orElseThrow(AccessDeniedException::new);

// Bean Validation
public record OrderReq(@NotNull Long patientId, @Size(max=50) String memo) {}
@PostMapping void create(@Valid @RequestBody OrderReq r) { ... }
// SQLi 対策：JPA / @Query はパラメータバインド。文字列連結は禁止
@Query("select r from Result r where r.code = :code")

// Angular は {{ }} 補間とプロパティバインドで自動エスケープ
// 危険：bypassSecurityTrustHtml() の安易な使用は禁止
// HTML を表示するなら DomSanitizer で必ずサニタイズ

// Spring Security は CSRF 保護がデフォルト有効
// SPA は CookieCsrfTokenRepository でトークンを Cookie 配布

// provideHttpClient(withXsrfConfiguration({
//   cookieName: 'XSRF-TOKEN', headerName: 'X-XSRF-TOKEN' }))
// XSRF-TOKEN Cookie を読み X-XSRF-TOKEN ヘッダで自動送信

// 外部リクエスト先は許可リストで限定（任意URL禁止）
// アップロードは MIME・拡張子・サイズ検証 + ウイルススキャン
// 状態遷移は enum + ガード条件でサーバ検証

// JPA AttributeConverter でフィールド暗号化（AES-GCM）
@Convert(converter = EncryptedStringConverter.class)
private String diagnosis;
// 鍵は KMS / Secrets Manager 管理。コードにハードコードしない

// ログ出力時に PII をマスクするフィルタ（logback）
// 患者 ID は URL クエリでなくパス or ボディ、ログにはハッシュ/連番

// AES-256-GCM 等の標準アルゴリズム。鍵は AWS KMS / CloudHSM
// 自前で暗号方式を発明しない（標準ライブラリを使う）

http.requiresChannel(c -> c.anyRequest().requiresSecure());
http.headers(h -> h.httpStrictTransportSecurity(hsts -> hsts.maxAgeInSeconds(31536000)));

// AOP @Around または HandlerInterceptor で操作を記録
// 構造化ログ（JSON）+ MDC で相関ID。actor / action / patientRef / timestamp
// ログは改ざん防止（S3 Object Lock 等の WORM 保管へ転送）

@ControllerAdvice + @ExceptionHandler で一律のエラー応答
server.error.include-stacktrace=never
server.error.include-message=never  # 本番

// OAuth2 Resource Server（JWT 検証）
http.oauth2ResourceServer(o -> o.jwt(Customizer.withDefaults()));
// レート制限：Resilience4j / API Gateway
// レスポンスは DTO で必要項目だけ返す（エンティティ直返し禁止）

// OWASP Dependency-Check（Maven/Gradle plugin）/ Snyk を CI に組込み
// AWS Inspector で SBOM（CycloneDX/SPDX）出力

// セキュリティヘッダー：CSP, X-Frame-Options, X-Content-Type-Options
http.headers(h -> h.contentSecurityPolicy(c -> c.policyDirectives("default-src 'self'")));
// 秘密情報は Secrets Manager / 環境変数。application.yml に平文で書かない

// ヘルスチェック（liveness/readiness）：Spring Boot Actuator
// グレースフルシャットダウン：server.shutdown=graceful
// 再送に耐える冪等性（重複オーダー防止）：冪等キー + 一意制約
// 依存先障害のタイムアウト・サーキットブレーカー：Resilience4j
// ログ・記録は保存年限（診療録5年 等）をライフサイクルで管理