「サポート切れソフト」を使い続ける英国の病院 現実解としての「自衛」は?:NHSが抱える「医療機器のセキュリティリスク」【後編】
NHSトラスト(英国NHS傘下の公営病院)の一部で、医療機器のセキュリティギャップが課題視されている。古いソフトウェアで稼働する医療機器を使わざるを得ない場合、システム管理者が持つべき「自衛策」は。
英国の国民保健サービス(NHS:National Health Service)はサイバーセキュリティ対策に力を入れているが、NHSトラスト(NHS傘下の病院運営組織。地域ごとに独立した公営病院)の一部はガイドラインに沿ったセキュリティ対策を実施できていない――こうした事実が、資産可視化・管理ツールベンダーであるArmisが情報公開請求をした結果から明らかになった。
前編「『IoMT』(医療分野のIoT)が病院の新たなリスクに――英国調査で分かった事実」に続き、後編となる本稿も、Armisが公開したインフォグラフィックス「Healthcare Insights '21」の内容に基づき、NHSトラストにおける医療機器管理の問題と、サポート切れの医療機器を抱えるセキュリティリスクを考察する。
「サポート切れソフト」を使い続ける医療機関 脅威への「自衛策」は
Armisによる一連の情報公開請求によって、重要な医療機器にセキュリティギャップが存在することが判明した。特定の医療機器で、古いソフトウェアやサポート切れソフトウェアを稼働させている、という問題だ。回答したNHSトラストのうち「サポート終了またはサポート対象外のソフトウェアを実行している医療機器はない」と回答したのはわずか37%であり、16%は「医療機器のうち15%以上が、古いソフトウェアで稼働させている」と回答した。
回答者の約3分の1は、医療機器をネットワークから分離させることの必要性を理解しており、ほぼ同数の回答者が「医療機器の大半をメインネットワークから分離させている」と回答したことは有望視できる。それでも27%は「医療機器をメインネットワークから全く分離させていない」と回答している。これは致命的なサイバー攻撃の可能性を残す大きなリスクをはらむ。
機器管理は複雑なタスクであり、状況によってはいくらかのリスクを許容できるかどうかを検討する必要も出てくる。ここで重要なのは「システム管理者が、機器に関する全ての情報、既知の脅威、サポートライフサイクルの状況を把握し、素早く判断し、速やかに問題を解決することだ」とArmisの戦略的製品マーケティングディレクターであるスミット・セーガル氏は話す。コンプライアンス要件に応じた知識を持てば「医療機器が増え続けても、それを狙うサイバー攻撃者がいても、十分な自衛ができるはずだ」とセーガル氏は主張する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.