「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実NHSが抱える「医療機器のセキュリティリスク」【前編】

英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。

2022年02月21日 05時00分 公開
[Alex ScroxtonTechTarget]

関連キーワード

セキュリティ対策 | 医療IT


 2017年にランサムウェア(身代金要求型マルウェア)の「WannaCry」が世界中で巻き起こした事件から、英国の国民保健サービス(NHS:National Health Service)のサイバーセキュリティ対策は飛躍的に進歩した。一方でコンプライアンスとデバイス管理の複雑さが、重大かつ潜在的なセキュリティギャップを生んでいる。資産可視化・管理ツールベンダーであるArmisが情報公開請求をした結果から、こうした事実が明らかになった。

「MIoT」が普及するほど重みを増す、医療機関のセキュリティ対策

 Armisが公開したインフォグラフィックス「Healthcare Insights '21」によれば、情報公開請求に回答した英国全土の70組織以上のNHSトラスト(NHS傘下の病院運営組織。地域ごとに独立した公営病院)のうち、

  • 14%がNSHのデータセキュリティ・保護ツールキット(DSPT:Data Security and Protection Toolkit、注1)に準拠していることを示せていない
  • 46%が英国サイバーセキュリティセンター(NCSC)のセキュリティ認証「Cyber Essentials」に準拠していない
  • 62%が「Cyber Essentials Plus」(Cyber Essentialsのスキームに基づく最高レベルのセキュリティ認証)に準拠していない

ことが分かった。

※注1:NHSが傘下組織に提供しているオンライン自己評価ツール。National Data Guardian for Health and Social Care(英国の医療機関が市民の機密情報を適切に保護するよう助言や異議申し立てをする、独立した政府組織)の定める10個のデータセキュリティ基準に照らして、適切なセキュリティ対策や個人情報保護が実現できているかどうかを測定する。NHS傘下組織はこのツールを通じて要求されるデータセキュリティ基準を達成する必要がある。

 NHSトラストの37%は、欧州連合(EU)の「ネットワークと情報システムに関する指令」(NIS指令:Network and Information Systems指令)に準拠していなかった。「ISO27001」(ISMS:情報セキュリティマネジメントシステム)に準拠していなかったNHSトラストは3分の2以上(67%)に上った。

 「ネットワークに接続する全てまたは一部の医療機器を識別できる」と、NHSトラストの大多数(85%)が回答した。しかしNHSトラストの41%はこれらのIT資産に関するリアルタイムのリスク登録簿を備えておらず、3分の1弱(31%)は遠隔患者管理に使用する医療機器を識別または監視していなかった。医療におけるモノのインターネット(IoMT)が普及し、インターネットに接続するヘルスケアデバイスへの支出が将来的に増加すると考えると、この事態は懸念すべきことだ。「NHSトラストは、極めて困難な課題に直面する中で最善を尽くしているが、課題は増え続けるばかりだ」と、Armisのヨーロッパ、中東、アフリカ地域(EMEA)担当ジェネラルマネージャーであるコナー・コクラン氏は言う。

 医療機関にとって技術が重要なことは明らかだ。その脆弱(ぜいじゃく)性が医療機関を標的とする不謹慎な悪人によって暴露されてきたことに対して、コクラン氏は「遺憾に思う」と語る。2017年に猛威を振るったWannaCryなどの脅威から、病院のシステムや機器を守る必要があることははっきりしている。IoMTが普及するにつれて、これらの機器を可視化し、理解することが非常に重要になっている。「専門技術がなければ、機器の可視性は6割程度にしかならない」(同氏)


 後編はNHSトラストにおける医療機器管理の問題と、サポート切れの医療機器を抱えるセキュリティリスクを解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

プレミアムコンテンツ アイティメディア株式会社

「遠隔医療」に一斉移行した医療機関 その方法とは?

遠隔医療体制を構築する際は、患者や通常業務への影響を押さえながら進める必要がある。パンデミック下で一斉に遠隔医療体制を構築した2つの医療機関の例を紹介する。

プレミアムコンテンツ アイティメディア株式会社

オーストラリアの「電子処方箋」制度ができるまでの道のり

オーストラリアでは処方箋の完全電子化が一般化しているが、制度確立までの道のりは平たんではなかった。完全電子化を阻んだ課題とその解決策とは。

プレミアムコンテンツ アイティメディア株式会社

湾岸諸国の「デジタルヘルスケア」推進 重点分野と課題とは?

コロナ禍を契機に、湾岸諸国では「デジタルヘルスケア」への移行が加速している。湾岸諸国におけるデジタルヘルスケア産業の重点投資分野とは。デジタルヘルスケア推進の”壁”とその対処法についても紹介する。

プレミアムコンテンツ アイティメディア株式会社

医療機関で起こりがちな「データ品質」低下の理由と、改善に向けた方策とは

医療機関は膨大なデータを扱い、そのデータに基づいて重要な決定を下す場合がある。一方、データの質は低くなりがちだ。それはなぜか。データの品質を改善させるために必要な方策と併せて紹介する。

プレミアムコンテンツ アイティメディア株式会社

NHSのデータ基盤計画が英国民の不評を買った理由

英国の国民保健サービスでイングランド地域を管轄するNHS Englandが、医療サービス向けの新データ基盤を構築している。この計画に英国市民団体が“待った”をかけたという。なぜなのか。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実:NHSが抱える「医療機器のセキュリティリスク」【前編】 - TechTargetジャパン 医療IT 隴�スー騾ケツ€髫ェ蛟�スコ�ス

TechTarget郢ァ�ク郢晢ス」郢昜サ」ホヲ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/05/11 UPDATE

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。