「医療データは闇市場でクレカ情報より約20倍の値がつく」 医療IoT機器のセキュリティを死守するために

3月14日(木)7時0分 ITmedia NEWS

米国のみで使える「Apple Watch」の心電図機能

写真を拡大

【この記事はデジサートのWebサイトに掲載された「医療機器セキュリティ:対処が必要なのは今です」を、ITmedia NEWS編集部で一部編集し、転載したものです】
 医療のテクノロジーは、あらゆる業界や場所で革新的な進歩を遂げています。かつて病院のベッドに据え置きして使う必要があった医療機器は、今やワイヤレスかつポータブルになっています。身に着けるタイプのフィットネス機器も多くの人に普及しつつあります。
 これらの利便性に注目が集まっていますが、インターネットに接続されている医療機器のセキュリティ対策は特に気を付けるべきです。潜在的な危険から人々を保護することにいつ向き合うか、それはまさに今でしょう。
●高騰する医療データの価格
 闇市場で医療データの売買が加熱しています。医療機器業界へのサイバー攻撃は増え続けており、これは主に医療データの高騰によるものです。闇市場で医療データはクレジットカード情報より最大20倍も高く売れるといわれています。つまり、攻撃者にとって医療機関は魅力的な攻撃対象となるのです。
 しかし、多くの医療機器ベンダーは適切な予防措置を取れず、自社や患者を脅威から守り切れているとはいえない状況です。
●プライバシーはセキュリティと同義ではない
 これまで医療業界は患者データなどのプライバシー保護に重点を置いていました。例えば「HIPAA」(米国における医療保険の携行と責任に関する法律:Health Insurance Portability and Accoutability Act)では、データへのアクセス権を制限することで患者情報をプライバシー保護しています。しかし、プライバシーはセキュリティと同義ではありません。
 過去10年間で、医療業界は患者の医療記録に関するプライバシーに関して大きな進歩を遂げました。今後はその焦点をセキュリティに当てる必要があります。医療機器業界の多くのプレイヤーはセキュリティなどの分野で未熟な状態にあり、重大なリスクに直面しているからです。
●ネットワークにつながる医療機器のセキュリティ対策
 セキュリティ向上の鍵を握るには、ネットワーク化された医療機器にあります。
 MRIやX線装置、心電図モニター、超音波、輸液ポンプなどの医療機器は、患者、医療従事者、病院管理者にセキュリティリスクをもたらします。ネットワークにつながる医療機器が一般化するにつれて、これらの機器のセキュリティ確保がますます重要となるのです。
 しかし、現状は非常に多くの医療機器がセキュリティ上の脅威から保護されていません。米国の政策研究機関であるAtlantic Councilが行った研究によれば、多くの医療機器のソフトウェア、ファームウェア、ネットワークへの接続経路にリスクがあることが判明しています。
 同機関は、「メールやプライベートネットワークを介して機器がインターネットに接続しているということは、医療機器のエコシステムをセキュリティリスクにさらしている」と指摘しています。
 特定のトラフィックをブロックしたり、ポートを遮断したりするだけでは十分に保護できているとはいえません。適切なセキュリティの運用ポリシーを実施し、ネットワーク全体のトラフィックをリアルタイムで監視する必要があります。
●患者の遠隔モニタリングにもリスクが潜んでいる
 患者を遠隔で見守るモニタリングの仕組みもまた、セキュリティ対策を必要とする領域です。テクノロジーの進化によって、モニタリング機器を身に付けていても患者の自由な行動を妨げない技術が発展しています。
 これらの機器は家庭内でより普及しており、2015年当時には「17年までに無線リモートモニタリング機器を使用している人は180万人に達する」と推定されていました。例えば、糖尿病患者はワイヤレスのインスリンポンプを使用することで、自宅に居ながらにして医療機関に血糖値を伝えられます。患者のバイタルサインを遠隔で医師に伝えることで、健康を保つことができる見守りシステムもあります。
 これら技術の進歩は、患者を束縛することなく医者が患者の健康状態を詳細に見守り、その情報に基づいた診断を行えるようになるでしょう。
 しかし、これらの新システムはセキュリティ上の脆弱性も引き起こす可能性もあります。ワイヤレスのインスリンポンプは一般的に普及している機器ですが、近年はセキュリティ上の懸念が表明されています。「NIST」(米国国立標準技術研究所:National Institute of Standards and Technology)の報告によると、いくつかの製品は従来のITセキュリティツールで脅威をスキャンできない点が懸念されています。
 さらに一部の製品は、ソフトウェアのインストール前にそのファイルの発行元確認を行っておらず、デバイスは不正なソフトウェアやアクセスの侵入に対して脆弱な状態だといいます。セキュリティ研究者のジェレミー・リチャーズ氏は、あるブランドの製品について「これほどセキュリティが考慮されていないIPデバイスは今まで見たことがない」と指摘しました。
 コンサルティング会社のデロイトも、「ネットワーク化された医療機器は医療において変革の役割を果たす可能性を秘めていますが、患者や医療機関に安全性とセキュリティのリスクをもたらすアイテムとなり得る」と指摘しています。
 医療機器ベンダーや医療機関は、もはやセキュリティ対策を先延ばしすることはできません。彼らがデバイスとデータを保護するための行動を開始するまで、今後数年間は引き続き重要なデータ侵害が行われる危険性があります。全ての医療に携わる組織は、悪意のある攻撃者に対抗できる安全なネットワークを維持するために正しいセキュリティ知識を身に付ける必要があります。

ITmedia NEWS

「医療」をもっと詳しく

「医療」のニュース

トピックス

BIGLOBE
トップへ