「医療IoTデバイス」のセキュリティを確保する5つのステップ：医療IoTのリスクと対策【後編】

医療IoTデバイスはひとたび侵害されたら患者の生命を脅かすリスクがある。安全のために、医療機関がやるべき対策を5つのステップに分けて紹介する。

[Kristen Gloss，TechTarget]

　医療機関のIT管理者は、患者の安全を確保するため、目まぐるしく進歩するIoT（モノのインターネット）デバイスとデータの保護に関する問題を理解しておかなければならない。医療用途のIoTデバイスの中には患者の身体に埋め込んで常時データを収集するものもある。こうしたIoTデバイスが攻撃者に侵害されデータが直接改ざんされたら、最悪の場合、患者の健康を害する可能性もある。前編「ペースメーカー停止の恐れも　『医療IoTセキュリティ』を無視できない理由」、中編「『医療IoTデバイスへの攻撃』から患者の命を守るために、まずやるべきこと」に続く後編となる本稿は、医療機関のIoTセキュリティ強化のための5つのステップを紹介する。

ステップ1．デバイスの目録を作成する

　調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は「デバイスの存在を把握しなければ、そのセキュリティを確保できない」と説明し、医療機関に対して全ての資産を網羅する図表の作成を勧める。IoTデバイスは「役に立つ」という理由だけで、リスクの事前評価もなしに病院内ネットワークに持ち込まれてしまうケースが少なくない。例えば患者が音楽を聴きたいからと「Google Assistant」（Googleアシスタント）や「Amazon Alexa」などの音声アシスタントを搭載したスマートスピーカーを院内に持ち込む可能性がある。

　ネットワークに存在するIoTデバイスを検出するためのインベントリ管理ツールを提供している医療機器メーカーもある。こうしたツールは、検出の際にIoTデバイスの機能を中断することはなく、OSが搭載されていないIoTデバイスも検出する。各IoTデバイスで実行されているOSも特定できる。

併せて読みたいお薦め記事

医療のIoT（モノのインターネット）とセキュリティ対策

• 医療機器をハッキングから守る5つのセキュリティ対策
• 医療IoT「IoMT」のセキュリティリスク　患者の命をサイバー攻撃から守るには？

医療機関のセキュリティ製品選び

• 病院がセキュリティ対策に手を抜いてはいけない納得の理由
• 医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は？
• AIから法令順守まで　医療機関のセキュリティ製品選び「4つのポイント」

ステップ2．ベストプラクティスに従う

　医療従事者は、医療分野におけるIoTデバイスのセキュリティ強化のためのベストプラクティスに従わなければならない。具体的には「初期設定パスワードを使わない」「ファイアウォールや暗号化技術を導入する」といったことだ。デバイスを導入する前にリスクを評価し、どのような脆弱（ぜいじゃく）性があるかを理解し、行動予測分析に基づいてネットワークトラフィックを監視し、異常の有無を検知する必要がある。ソフトウェアを定期的にアップデートすることも重要だ。

ステップ3．効果的な認証を実装する

　公開鍵暗号基盤（PKI）とデジタル証明書を導入すると、ネットワークや電子カルテシステム、他のデバイスへの接続を認証して、伝送中にデータが中間者攻撃によって操作されていないことを保証しやすくなる。

ステップ4．ネットワークをセグメントに分割する

　IT管理者は制御機能が組み込まれていないIoTデバイスをネットワークから隔離しなければならない。そのIoTデバイスを治療に使用しなければならない場合、IT管理者はIoTデバイスのインターネット接続機能を無効にする。IoTデバイスをインターネットに接続しなければならない場合、医療機関はベンダーの協力を仰ぎ、IoTデバイスが接続する必要のある場面を特定し、許可リストを作成して必要な接続のみを許可する。拒否リストを作成して、IoTデバイスが既知の有害なWebサイトに接続できないようにする方法もある。

　ルノー氏は「IT管理者はパブリックネットワークと他のネットワークのセグメントを分けたり、仮想LANの資産やイベントへのアクセスを制限したり、部門ごとにトラフィックを分離したりしなければならない」と指摘する。レガシーデバイスはゲートウェイで保護することで、IoTデバイスの物理接続のセキュリティを確保できる。

ステップ5．適切なツールを使用する

　IoTセキュリティの運用をシンプルにするツールを導入する手もある。大量のデータやIoTデバイスの管理を自動化するツールもある。医療機関Intermountain Healthcareで最高情報セキュリティ責任者（CISO）を務めるカール・ウエスト氏によると、医療機器メーカーは自社製品の管理用に

• 接続するIoTデバイスは何か
• どのようなデータを収集しているか
• どこでインターネットに接続しているか

を識別できる専用ツールを開発している。IT管理者がネットワークトラフィックを監視して、接続を承認したり拒否したりするには、IoTデバイスの分析ツールが役に立つ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。