インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。
患者の安全を過度に脅かさず、インターネット接続が可能な医療機器のメリットを生かすには、医療機関はバランスの取れた慎重な行動をする必要がある。
医療機関と患者が病院内のネットワークに持ち込むデバイスが多様化している。IoT(モノのインターネット)の技術は、患者のケアと医療施設の機能向上に貢献してきた。だがIoT技術の成長とともにサイバー脅威も増加する。
IoT技術を実装したデバイス(以下、IoTデバイス)は医療現場において、次のような用途で活用されている。
インターネットに接続できる医療機器は業務効率を向上させ、結果として患者や医療従事者の生活を改善する。ただしサイバー攻撃を受ける可能性を広げてしまうのも確かだ。
調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は「攻撃側は以前より賢くなっている」と話す。新型コロナウイルス感染症(COVID-19)が世界的に流行しているさなか、同社は医療機器に対する攻撃が急増していた状況を調査によって認識していた。増加しているのはIoTデバイス全般に対する攻撃だが「中でも医療業界での増加は顕著だ」とルノー氏は強調する。
過去の大きなセキュリティ侵害事件からも、医療機関を標的とするサイバー攻撃の増加が深刻な問題になっていることは明らかだ。そのため医療機関や医療機器メーカー、規制当局は、IoTデバイスのセキュリティを重視せざるを得なくなっている。
2016年にはセキュリティ調査会社MedSecと投資調査会社Muddy Watersが、医療機器メーカーSt. Jude Medical製(注1)の循環器疾患用デバイス(埋め込み型ペースメーカーおよび除細動器のリモート監視システム)に潜む脆弱(ぜいじゃく)性を特定した。この脆弱性を悪用すると、攻撃者は医療機器のバッテリーがなくなるまで繰り返しメッセージを送信できる。
※注1:St. Jude Medicalは2017年に同業のAbbott Laboratoriesに買収されている。
研究者は「この脆弱性によって、St. Jude Medical製のペースメーカーや除細動器は機能しなくなる恐れがある」と指摘した。この議論を巻き起こした脆弱性の取り扱いによって、米国の食品医薬品局(FDA)はサイバーセキュリティと医療機器全般に関する指針を発表することとなった。
2018年開催のセキュリティカンファレンス「Black Hat USA 2018」では、さまざまな研究者が医療分野のIoTデバイスに潜む重大な危険性を明らかにした。例えばセキュリティ会社WhiteScopeを設立したビリー・リオス氏と、同業のQED Secure SolutionsでCEOを務めるジョナサン・バッツ氏は、攻撃者がどのように医療機器メーカーMedtronic製のペースメーカーにリモートアクセスし、患者の心臓への電気刺激を管理したり、保留したりできることをBlack Hatで実演していた。
ランサムウェア(身代金攻撃型マルウェア)の「WannaCry」は、医療システムを標的にした有名なマルウェアの一つで、2017年に初めて見つかった。ハッカーはWannaCryを使用して「Windows」の脆弱性を標的にし、マルウェアを感染させたデバイスに医療従事者がアクセスできないようにした。
医療機器メーカーやセキュリティ担当者が医療分野におけるIoTデバイスのセキュリティ強化に取り組まざるを得なくなった要因は、サイバー攻撃だけではない。FDAは医療機器メーカーを対象として、医療分野におけるIoTデバイスのセキュリティ設計および維持に関するサイバーセキュリティ勧告を、2016年と2018年に発出している。Healthtrust Purchasing GroupやMayo Clinicといった医療機関も、医療機器をメーカーから購入する際の独自の調達要件を確立している。このような要件によって医療機器メーカーは、自社製品にセキュリティ機能を組み込むようになった。
「ダメージの回復に掛かるコストは、ダメージを防ぐのに必要なコストをはるかに上回る」。デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏はこう語る。
中編は医療IoTのリスクの中でも特に重大な「患者の安全」に焦点を当て、解説する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
遠隔医療体制を構築する際は、患者や通常業務への影響を押さえながら進める必要がある。パンデミック下で一斉に遠隔医療体制を構築した2つの医療機関の例を紹介する。
オーストラリアでは処方箋の完全電子化が一般化しているが、制度確立までの道のりは平たんではなかった。完全電子化を阻んだ課題とその解決策とは。
コロナ禍を契機に、湾岸諸国では「デジタルヘルスケア」への移行が加速している。湾岸諸国におけるデジタルヘルスケア産業の重点投資分野とは。デジタルヘルスケア推進の”壁”とその対処法についても紹介する。
医療機関は膨大なデータを扱い、そのデータに基づいて重要な決定を下す場合がある。一方、データの質は低くなりがちだ。それはなぜか。データの品質を改善させるために必要な方策と併せて紹介する。
英国の国民保健サービスでイングランド地域を管轄するNHS Englandが、医療サービス向けの新データ基盤を構築している。この計画に英国市民団体が“待った”をかけたという。なぜなのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
