2020年11月05日 05時00分 公開
特集/連載

「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと医療IoTのリスクと対策【中編】

医療IoTデバイスは多くのメリットをもたらす一方で、侵害時のリスクは生命に関わるほど重大なものになる。医療現場がIoTデバイスを安全に活用する上で、正確に把握すべき「現状の課題」は何か。

[Kristen Gloss,TechTarget]

 医療分野で利用されるIoT(モノのインターネット)デバイスの脆弱(ぜいじゃく)性がもたらす脅威は、身体に害を及ぼす場合があるという点で、一般消費者向けデバイスの脆弱性がもたらす脅威よりも深刻度が高い。医療従事者と患者が治療方針を決めて治療を進めるには、正確なデータが欠かせないからだ。

 「医療行為に影響を及ぼすIoTデバイスが、医療と関連付けられているデータにアクセスして改ざんするための踏み台として悪用された場合、最大の懸念は患者の安全だ」。医療機関Intermountain Healthcareで最高情報セキュリティ責任者(CISO)を務めるカール・ウエスト氏はこう話す。

 前回「ペースメーカー停止の恐れも 『医療IoTセキュリティ』を無視できない理由」に続く中編となる本稿は「患者の安全性」に焦点を当て、医療IoTセキュリティの課題を解説する。

最優先は患者の安全確保

 ウエスト氏自身はサイバー攻撃によって患者の安全性が損なわれる状況に遭遇したことはないが「この問題は常に付いて回る」と話す。攻撃者はランサムウェア(身代金要求型マルウェア)攻撃やDDoS(分散型サービス拒否)攻撃の一環としてIoTデバイスにウイルスを感染させ、そのIoTデバイスを医療グループのネットワーク内にある他の場所に侵入する踏み台として使用する。

 デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏は、医療分野におけるIoT技術の脆弱性がもたらす潜在的なリスクを実地で体験しているという。ネルソン氏は糖尿病の治療のために、血糖値を常時監視する「持続血糖測定器」と、インスリンを持続的に注入するため皮下に埋め込む小型の輸液ポンプ「インスリンポンプ」を使用している。持続血糖測定器は血液のサンプルを採取して血糖値を測定し、Bluetooth経由でスマートフォンに警告メッセージを送信する。

 ハッカーは中間者攻撃を仕掛けて、持続血糖測定器からスマートフォンに報告される値を操作できる可能性がある。このデータ操作によって、危険な量のインスリンを注入される状況が発生しかねない。IoTデバイスが侵害されてしまうと、攻撃者はIoTデバイスの動作変更や無効化、他のデバイスへのアクセス権の入手といった操作が可能になる。

IT/OTの集約とレガシーデバイスがもたらす問題

 IoT技術の進歩によって、日々新たなIoTデバイスがインターネットに接続されるようになっている。そのためIT管理者は、IT資産管理のインベントリ情報を更新し続けるのに苦慮する可能性がある。こうしたIoTデバイスはIT部門のあずかり知らぬところで、ビジネスの一環としてネットワークにアクセスすることがある。従ってIoTセキュリティを確保する上ではIoTデバイスの検出技術が重要になる。

 制御技術(OT)の担当者は必ずしもセキュリティのベストプラクティスを最優先に考えるわけではない。IT担当者もセキュリティ対策が運用にどのような支障を来すのかを常に把握しているとは限らない。

 あらゆるものをファイアウォールで保護する従来型のセキュリティ対策は「迅速な治療を提供するためのワークフローと衝突して、不都合が生じる恐れがある」と、調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は語る。「IT担当者とそれ以外の担当者が一堂に会して、ベストの利用例やシステムを一緒に作り上げることが不可欠だ」(ルノー氏)

 このリスクは医療グループのネットワークに持ち込まれる、インターネット接続が可能な医療機器にまで及ぶ。病院のゲストネットワークに接続する患者のウェアラブルデバイスやスマートデバイスも同様だ。ゲストネットワークにあらゆる保護対策を設定して制御を徹底しても、ネットワークを監視していなければ不正な活動は「いくらでも発生する」(ウエスト氏)。ネットワークに接続した患者のIoTデバイスに、医療グループのネットワークに侵入する恐れがあるマルウェアが潜んでいる可能性もゼロではない。

 レガシーデバイスがネットワークに接続することによるセキュリティ問題も無視できない。ルノー氏によると、医療機関では数百万ドルにも上る高額医療機器の多くが減価償却を終えるまで入れ替えられない。このようなレガシーデバイスをネットワークに接続することで脆弱性が生じる。レガシーデバイスはベンダーによって採用しているプロトコルが異なり、セキュリティを維持するための無線経由のアップデートを受け取れない可能性がある。


 後編は医療機関のIoTセキュリティ強化のための5つのステップを解説する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news095.jpg

コト売り企業とモノ売り企業のレジリエンス(回復力)の違い――Zuora Japan調査
Zuora Japan2020年の「サブスクリプション・エコノミー・インデックス(SEI)」レポート...

news148.jpg

生活者視点から見たDX 受容層43.1%、拒否層12.5%――日本IBM調査
「IBM Future Design Lab.」の調査によると今後、DXの波は産業の場から生活の場へと拡張...

news146.jpg

マーケティングオートメーション(MA)を導入しない理由1位は4年連続で「高いから」――Mtame調査
2017年から続く「マーケティングオートメーション意識調査」の2020年版の結果です。