モノのインターネット (IoT) 05-17-2015

医療機器セキュリティ:対処が必要なのは今です

Mike Nelson
Blog | DigiCert

医療分野は、その業界のあらゆる場所で革新的な進歩を遂げています。かつて病院のベッドに据え置いて接続して使用する必要があった機器は、今や、ポータブルかつワイヤレスになっています。また、ほとんどすべての人が身に着けるタイプのフィットネス機器を使用しています。 これらの利便性は注目されていますが、医療機器、特にインターネットに接続されている機器のセキュリティ上の懸念は考慮されるべきです。これらのセキュリティ問題に対処し、潜在的に危険なシナリオから個人を保護するための時期は今を置いてありません。

高騰する医療データの価格

闇市場において医療データの売買は熱い分野です。医療機器業界へのサイバー攻撃は増加しており、これは主に医療データの高騰によるものです。闇市場では、医療データはクレジットカード情報よりも最大20倍も高く売れると言われています。これにより、攻撃者にとって医療機関が魅力的な標的になっています。さらに、多くの医療機器ベンダーは、適切な予防措置をとらないことによって、自分や患者をこうした攻撃から守ることができないでいます。

プライバシーとセキュリティ

これまで、医療業界は、患者や他の専有データのプライバシーに重点を置いていました。例えば、HIPPA(※Health Insurance Portability and Accoutability Act of 1996:米国における医療保険の携行性と責任二関する法律)は、アクセス権を制限することによって患者情報を保護しています。しかしプライバシーはセキュリティと同義ではありません。過去10年間で、業界は医療記録のプライバシー面を保護する上で大きな進歩を遂げました。今後、その焦点はセキュリティに移行する必要があります。医療機器業界の多くのプレイヤーは、多くの分野で未熟な状態にあり、重大なセキュリティリスクに直面しています。

ネットワーク医療機器

セキュリティ向上の最大のポイントの1つは、ネットワーク化された医療機器にあります。MRIやX線装置、心臓モニター、超音波、輸液ポンプなどの無人医療機器は、患者、医療提供者、病院管理者にセキュリティリスクをもたらします。ネットワーク化された医療機器が一般化するにつれて、これらの機器のセキュリティ確保が重要となっています。 この業界では現在、非常に多くの医療機器が保護されていません。アトランティック・カウンシルによる最近の研究では、ネットワーク化された医療機器のリスクについて検討しました。その結果、多くの医療機器のソフトウェア、ファームウェア、および接続性にリスクがあることが判明しました。「メールやプライベートネットワークを介してインターネットに接続しているという事実は、これらエコシステムをネットワークベースのリスクにさらしている」と同報告書は指摘しています。 特定のトラフィックをブロックしたり、ポートをシャットダウンしたりするだけでは十分な保護ではありません。適切なセキュリティポリシーを実施し、ネットワーク全体のトラフィックをリアルタイムで監視する必要があります。

リモートモニタリング

リモートモニタリングはセキュリティを必要とする別の領域です。モニタリングされている患者が容易に移動できるようになるようなことを可能にする多くの技術が存在します。これらの機器は家庭内でより普及しており、2017年までに無線リモートモニタリング機器を使用している人は180万人に達すると推定されています。糖尿病患者は、無線インスリンポンプを使用して自宅や他の場所から医師のオフィスに血糖値を伝えることができます。患者のバイタルサインを測定して医師に伝え、患者の健康を継続的に保つことができる他の在宅監視システムもあります。 これらの進歩は、患者の移動性と柔軟性を高め、医療従事者が患者の健康状態をより詳細に監視し、情報に基づいた重大な意思決定を行うことを可能にします。しかし、これらの新しいシステムはセキュリティ上の脆弱性をも引き起こします。 無線注入ポンプは非常に一般的なリモートモニタリング装置です。近年、これらのデバイスについて多くの懸念が表明されています。米国立標準技術研究所(Institute of Standard and Technology)が報告したところによると、いくつかの無線注入ポンプは伝統的なITセキュリティツールでスキャンできないという事実が主な懸念事項の1つです。 一部のポンプは、ソフトウェアインストール前にアップデートイメージの発行元確認を行っておらず、デバイスは不正なソフトウェアやアクセスに対して脆弱なままです。最近、セキュリティ研究者のジェレミー・リチャーズは、あるブランドのドラッグポンプについて、「これほどセキュリティが考慮されていないIPデバイスは今まで見たことがない」と指摘しました。

Deloitteは最近の記事で、「ネットワーク化された医療機器は医療において変革の役割を果たす可能性を秘めていますが、患者や医療機関に安全性とセキュリティのリスクをもたらすアイテムとなりうる」と指摘しています。

行動を起こしましょう

製造業者および医療機関はもはやセキュリティ対策を先延ばしすることはできません。医療機関がデバイスとデータを保護するための行動を開始するまで、今後数年間は引き続き重要なデータ侵害が行われる危険性があります。すべての医療関連組織は、悪意のある攻撃者によって奪われることのない安全なネットワークを維持するための正しいセキュリティプラクティスを確保する必要があります。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失