ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由:医療IoTのリスクと対策【前編】
インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。
患者の安全を過度に脅かさず、インターネット接続が可能な医療機器のメリットを生かすには、医療機関はバランスの取れた慎重な行動をする必要がある。
医療機関と患者が病院内のネットワークに持ち込むデバイスが多様化している。IoT(モノのインターネット)の技術は、患者のケアと医療施設の機能向上に貢献してきた。だがIoT技術の成長とともにサイバー脅威も増加する。
IoT技術を実装したデバイス(以下、IoTデバイス)は医療現場において、次のような用途で活用されている。
- 入院患者や外来患者のモニタリング
- 医療機器の資産管理
- 空調設備システムや照明の自動管理
インターネットに接続できる医療機器は業務効率を向上させ、結果として患者や医療従事者の生活を改善する。ただしサイバー攻撃を受ける可能性を広げてしまうのも確かだ。
調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は「攻撃側は以前より賢くなっている」と話す。新型コロナウイルス感染症(COVID-19)が世界的に流行しているさなか、同社は医療機器に対する攻撃が急増していた状況を調査によって認識していた。増加しているのはIoTデバイス全般に対する攻撃だが「中でも医療業界での増加は顕著だ」とルノー氏は強調する。
患者の命を左右する医療IoTセキュリティ
過去の大きなセキュリティ侵害事件からも、医療機関を標的とするサイバー攻撃の増加が深刻な問題になっていることは明らかだ。そのため医療機関や医療機器メーカー、規制当局は、IoTデバイスのセキュリティを重視せざるを得なくなっている。
2016年にはセキュリティ調査会社MedSecと投資調査会社Muddy Watersが、医療機器メーカーSt. Jude Medical製(注1)の循環器疾患用デバイス(埋め込み型ペースメーカーおよび除細動器のリモート監視システム)に潜む脆弱(ぜいじゃく)性を特定した。この脆弱性を悪用すると、攻撃者は医療機器のバッテリーがなくなるまで繰り返しメッセージを送信できる。
※注1:St. Jude Medicalは2017年に同業のAbbott Laboratoriesに買収されている。
研究者は「この脆弱性によって、St. Jude Medical製のペースメーカーや除細動器は機能しなくなる恐れがある」と指摘した。この議論を巻き起こした脆弱性の取り扱いによって、米国の食品医薬品局(FDA)はサイバーセキュリティと医療機器全般に関する指針を発表することとなった。
併せて読みたいお薦め記事
医療のIoT(モノのインターネット)とセキュリティ対策
医療機関のセキュリティ製品選び
- 病院がセキュリティ対策に手を抜いてはいけない納得の理由
- 医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
- AIから法令順守まで 医療機関のセキュリティ製品選び「4つのポイント」
2018年開催のセキュリティカンファレンス「Black Hat USA 2018」では、さまざまな研究者が医療分野のIoTデバイスに潜む重大な危険性を明らかにした。例えばセキュリティ会社WhiteScopeを設立したビリー・リオス氏と、同業のQED Secure SolutionsでCEOを務めるジョナサン・バッツ氏は、攻撃者がどのように医療機器メーカーMedtronic製のペースメーカーにリモートアクセスし、患者の心臓への電気刺激を管理したり、保留したりできることをBlack Hatで実演していた。
ランサムウェア(身代金攻撃型マルウェア)の「WannaCry」は、医療システムを標的にした有名なマルウェアの一つで、2017年に初めて見つかった。ハッカーはWannaCryを使用して「Windows」の脆弱性を標的にし、マルウェアを感染させたデバイスに医療従事者がアクセスできないようにした。
医療機器メーカーやセキュリティ担当者が医療分野におけるIoTデバイスのセキュリティ強化に取り組まざるを得なくなった要因は、サイバー攻撃だけではない。FDAは医療機器メーカーを対象として、医療分野におけるIoTデバイスのセキュリティ設計および維持に関するサイバーセキュリティ勧告を、2016年と2018年に発出している。Healthtrust Purchasing GroupやMayo Clinicといった医療機関も、医療機器をメーカーから購入する際の独自の調達要件を確立している。このような要件によって医療機器メーカーは、自社製品にセキュリティ機能を組み込むようになった。
「ダメージの回復に掛かるコストは、ダメージを防ぐのに必要なコストをはるかに上回る」。デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏はこう語る。
中編は医療IoTのリスクの中でも特に重大な「患者の安全」に焦点を当て、解説する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.