英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。
2017年にランサムウェア(身代金要求型マルウェア)の「WannaCry」が世界中で巻き起こした事件から、英国の国民保健サービス(NHS:National Health Service)のサイバーセキュリティ対策は飛躍的に進歩した。一方でコンプライアンスとデバイス管理の複雑さが、重大かつ潜在的なセキュリティギャップを生んでいる。資産可視化・管理ツールベンダーであるArmisが情報公開請求をした結果から、こうした事実が明らかになった。
Armisが公開したインフォグラフィックス「Healthcare Insights '21」によれば、情報公開請求に回答した英国全土の70組織以上のNHSトラスト(NHS傘下の病院運営組織。地域ごとに独立した公営病院)のうち、
ことが分かった。
※注1:NHSが傘下組織に提供しているオンライン自己評価ツール。National Data Guardian for Health and Social Care(英国の医療機関が市民の機密情報を適切に保護するよう助言や異議申し立てをする、独立した政府組織)の定める10個のデータセキュリティ基準に照らして、適切なセキュリティ対策や個人情報保護が実現できているかどうかを測定する。NHS傘下組織はこのツールを通じて要求されるデータセキュリティ基準を達成する必要がある。
NHSトラストの37%は、欧州連合(EU)の「ネットワークと情報システムに関する指令」(NIS指令:Network and Information Systems指令)に準拠していなかった。「ISO27001」(ISMS:情報セキュリティマネジメントシステム)に準拠していなかったNHSトラストは3分の2以上(67%)に上った。
「ネットワークに接続する全てまたは一部の医療機器を識別できる」と、NHSトラストの大多数(85%)が回答した。しかしNHSトラストの41%はこれらのIT資産に関するリアルタイムのリスク登録簿を備えておらず、3分の1弱(31%)は遠隔患者管理に使用する医療機器を識別または監視していなかった。医療におけるモノのインターネット(IoMT)が普及し、インターネットに接続するヘルスケアデバイスへの支出が将来的に増加すると考えると、この事態は懸念すべきことだ。「NHSトラストは、極めて困難な課題に直面する中で最善を尽くしているが、課題は増え続けるばかりだ」と、Armisのヨーロッパ、中東、アフリカ地域(EMEA)担当ジェネラルマネージャーであるコナー・コクラン氏は言う。
医療機関にとって技術が重要なことは明らかだ。その脆弱(ぜいじゃく)性が医療機関を標的とする不謹慎な悪人によって暴露されてきたことに対して、コクラン氏は「遺憾に思う」と語る。2017年に猛威を振るったWannaCryなどの脅威から、病院のシステムや機器を守る必要があることははっきりしている。IoMTが普及するにつれて、これらの機器を可視化し、理解することが非常に重要になっている。「専門技術がなければ、機器の可視性は6割程度にしかならない」(同氏)
後編はNHSトラストにおける医療機器管理の問題と、サポート切れの医療機器を抱えるセキュリティリスクを解説する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
