2022年02月21日 05時00分 公開
特集/連載

「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実NHSが抱える「医療機器のセキュリティリスク」【前編】

英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。

[Alex Scroxton,TechTarget]

関連キーワード

セキュリティ対策 | 医療IT


 2017年にランサムウェア(身代金要求型マルウェア)の「WannaCry」が世界中で巻き起こした事件から、英国の国民保健サービス(NHS:National Health Service)のサイバーセキュリティ対策は飛躍的に進歩した。一方でコンプライアンスとデバイス管理の複雑さが、重大かつ潜在的なセキュリティギャップを生んでいる。資産可視化・管理ツールベンダーであるArmisが情報公開請求をした結果から、こうした事実が明らかになった。

「MIoT」が普及するほど重みを増す、医療機関のセキュリティ対策

 Armisが公開したインフォグラフィックス「Healthcare Insights '21」によれば、情報公開請求に回答した英国全土の70組織以上のNHSトラスト(NHS傘下の病院運営組織。地域ごとに独立した公営病院)のうち、

  • 14%がNSHのデータセキュリティ・保護ツールキット(DSPT:Data Security and Protection Toolkit、注1)に準拠していることを示せていない
  • 46%が英国サイバーセキュリティセンター(NCSC)のセキュリティ認証「Cyber Essentials」に準拠していない
  • 62%が「Cyber Essentials Plus」(Cyber Essentialsのスキームに基づく最高レベルのセキュリティ認証)に準拠していない

ことが分かった。

※注1:NHSが傘下組織に提供しているオンライン自己評価ツール。National Data Guardian for Health and Social Care(英国の医療機関が市民の機密情報を適切に保護するよう助言や異議申し立てをする、独立した政府組織)の定める10個のデータセキュリティ基準に照らして、適切なセキュリティ対策や個人情報保護が実現できているかどうかを測定する。NHS傘下組織はこのツールを通じて要求されるデータセキュリティ基準を達成する必要がある。

 NHSトラストの37%は、欧州連合(EU)の「ネットワークと情報システムに関する指令」(NIS指令:Network and Information Systems指令)に準拠していなかった。「ISO27001」(ISMS:情報セキュリティマネジメントシステム)に準拠していなかったNHSトラストは3分の2以上(67%)に上った。

 「ネットワークに接続する全てまたは一部の医療機器を識別できる」と、NHSトラストの大多数(85%)が回答した。しかしNHSトラストの41%はこれらのIT資産に関するリアルタイムのリスク登録簿を備えておらず、3分の1弱(31%)は遠隔患者管理に使用する医療機器を識別または監視していなかった。医療におけるモノのインターネット(IoMT)が普及し、インターネットに接続するヘルスケアデバイスへの支出が将来的に増加すると考えると、この事態は懸念すべきことだ。「NHSトラストは、極めて困難な課題に直面する中で最善を尽くしているが、課題は増え続けるばかりだ」と、Armisのヨーロッパ、中東、アフリカ地域(EMEA)担当ジェネラルマネージャーであるコナー・コクラン氏は言う。

 医療機関にとって技術が重要なことは明らかだ。その脆弱(ぜいじゃく)性が医療機関を標的とする不謹慎な悪人によって暴露されてきたことに対して、コクラン氏は「遺憾に思う」と語る。2017年に猛威を振るったWannaCryなどの脅威から、病院のシステムや機器を守る必要があることははっきりしている。IoMTが普及するにつれて、これらの機器を可視化し、理解することが非常に重要になっている。「専門技術がなければ、機器の可視性は6割程度にしかならない」(同氏)


 後編はNHSトラストにおける医療機器管理の問題と、サポート切れの医療機器を抱えるセキュリティリスクを解説する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news076.jpg

メディア化する企業が勝つ時代の動画マーケティングはどうあるべきか
見込み客の興味についての理解を深化させ、イベントの価値を最大化し、人々の注目を獲得...

news114.jpg

B2B企業のSEO記事コンテンツ制作、「外注に失敗」の経験が8割超――EXIDEA調査
SEOのノウハウはもちろん重要ですが、記事制作を外注するに当たっては、自社や業界のこと...

news027.jpg

さようならiPod Appleへの20年の貢献度を振り返る
ポータブルミュージック40年の歴史とともに、その偉業を振り返ってみましょう。