「IoMT」(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実:NHSが抱える「医療機器のセキュリティリスク」【前編】
英国NHS傘下の公営病院「NHSトラスト」の一部は、適切なセキュリティ対策を実施できていないことが明らかになった。NHSトラストは改善を続けているが、一方で新たなリスクが生じていると専門家は懸念を示す。
2017年にランサムウェア(身代金要求型マルウェア)の「WannaCry」が世界中で巻き起こした事件から、英国の国民保健サービス(NHS:National Health Service)のサイバーセキュリティ対策は飛躍的に進歩した。一方でコンプライアンスとデバイス管理の複雑さが、重大かつ潜在的なセキュリティギャップを生んでいる。資産可視化・管理ツールベンダーであるArmisが情報公開請求をした結果から、こうした事実が明らかになった。
「MIoT」が普及するほど重みを増す、医療機関のセキュリティ対策
Armisが公開したインフォグラフィックス「Healthcare Insights '21」によれば、情報公開請求に回答した英国全土の70組織以上のNHSトラスト(NHS傘下の病院運営組織。地域ごとに独立した公営病院)のうち、
- 14%がNSHのデータセキュリティ・保護ツールキット(DSPT:Data Security and Protection Toolkit、注1)に準拠していることを示せていない
- 46%が英国サイバーセキュリティセンター(NCSC)のセキュリティ認証「Cyber Essentials」に準拠していない
- 62%が「Cyber Essentials Plus」(Cyber Essentialsのスキームに基づく最高レベルのセキュリティ認証)に準拠していない
ことが分かった。
※注1:NHSが傘下組織に提供しているオンライン自己評価ツール。National Data Guardian for Health and Social Care(英国の医療機関が市民の機密情報を適切に保護するよう助言や異議申し立てをする、独立した政府組織)の定める10個のデータセキュリティ基準に照らして、適切なセキュリティ対策や個人情報保護が実現できているかどうかを測定する。NHS傘下組織はこのツールを通じて要求されるデータセキュリティ基準を達成する必要がある。
NHSトラストの37%は、欧州連合(EU)の「ネットワークと情報システムに関する指令」(NIS指令:Network and Information Systems指令)に準拠していなかった。「ISO27001」(ISMS:情報セキュリティマネジメントシステム)に準拠していなかったNHSトラストは3分の2以上(67%)に上った。
「ネットワークに接続する全てまたは一部の医療機器を識別できる」と、NHSトラストの大多数(85%)が回答した。しかしNHSトラストの41%はこれらのIT資産に関するリアルタイムのリスク登録簿を備えておらず、3分の1弱(31%)は遠隔患者管理に使用する医療機器を識別または監視していなかった。医療におけるモノのインターネット(IoMT)が普及し、インターネットに接続するヘルスケアデバイスへの支出が将来的に増加すると考えると、この事態は懸念すべきことだ。「NHSトラストは、極めて困難な課題に直面する中で最善を尽くしているが、課題は増え続けるばかりだ」と、Armisのヨーロッパ、中東、アフリカ地域(EMEA)担当ジェネラルマネージャーであるコナー・コクラン氏は言う。
医療機関にとって技術が重要なことは明らかだ。その脆弱(ぜいじゃく)性が医療機関を標的とする不謹慎な悪人によって暴露されてきたことに対して、コクラン氏は「遺憾に思う」と語る。2017年に猛威を振るったWannaCryなどの脅威から、病院のシステムや機器を守る必要があることははっきりしている。IoMTが普及するにつれて、これらの機器を可視化し、理解することが非常に重要になっている。「専門技術がなければ、機器の可視性は6割程度にしかならない」(同氏)
後編はNHSトラストにおける医療機器管理の問題と、サポート切れの医療機器を抱えるセキュリティリスクを解説する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.