医療機器のサイバーセキュリティーに穴?- 脅威増大、厚労省が指針策定へ
CB newsより
医療機器のウイルス感染や乗っ取りを防ごうと、厚生労働省が医療機器のサイバーセキュリティーのガイドラインを策定することが18日までに分かった。ここ数年は医療機関のウェブサイトが不正アクセスの被害を受けるケースが続出。医療機器がつながった病院内のシステムに被害はなかったが、医療機器が被害を受けた場合、患者の生死を左右する事態になりかねず、関係者は警戒を強めている。厚労省も「リスクマネジメントにより対策を実施する必要がある」としており、今年度内にガイドラインを取りまとめる方針だ。
医療機器のセキュリティー対策をめぐっては、米食品医薬品局(FDA)が2013年、医療機器や病院内のネットワークシステムがサイバー攻撃の標的になる可能性などを挙げ、医療機器メーカーや医療機関が適切な対策を講じる必要性を指摘。不正や有害な動作を行う意図で作成された「マルウェア」にネットワーク接続型の医療機器が感染するといった具体的なケースも挙げていた。
国内でも同様の事例が起きている。独立行政法人情報処理推進機構の報告書によると、金沢大附属病院で、各部門で個別に導入したシステムから、他の部門の機器にウイルス感染が広がり、診療業務への影響が発生。USBメモリ経由の侵入によるもので、ウイルス検索・駆除ツール導入後のウイルスチェックでは、1000件近くの不正プログラムが検出された機器もあったという。
こうしたセキュリティー上の脆弱性を踏まえ、内閣官房の情報セキュリティーセンターが14年に公表した、重要インフラの情報セキュリティー対策に関する行動計画では、医療機関を「重要インフラ事業者」、電子カルテや遠隔画像診断などを「重要システム」として位置付け、注意を促していた。
■サイバー対策、旗振り役の厚労省が“被害者”に
こうした警告や注意喚起にもかかわらず、不正アクセスで被害を受ける医療機関が絶えないのが実情だ。昨年12月には国立病院機構岩国医療センター(山口県)のホームページが不正アクセスを受け、改ざんされていたことが判明。新潟県も今年2月、県立柿崎病院のホームページが不正に操作された可能性があると発表した。医療関係者らにセキュリティー対策の重要性を説いていた厚労省も被害を受けており、1月にホームページがサイバー攻撃によって一時閲覧ができない状態となった。
■ガイドラインの対象は医薬品医療機器法に基づく機器
厚労省によるガイドラインの作成は、医療機器を含む機器や物などをインターネットでつなぐ「IoT(Internet of Things)」のセキュリティーに関する国の制度整備の一環。主に医薬品医療機器法に基づく機器が対象となる見通しだ。
15年4月に厚労省が出した通知では、製造販売業者に対し、▽医療機器と接続できる範囲を限定する▽セキュリティーの確保がなされていない医療機器は、接続できない設定にするなど注意喚起を行う▽医療機関に必要な情報提供を行う―などの措置を求めていた。
ガイドラインには、この通知を踏まえた対策が盛り込まれるとみられる。ただ、今後製造される機器のセキュリティーを向上させても、現在使用中の機器の改修を同時並行で進めなければ、医療機関内に“セキュリティーホール”が生じる恐れもある。ガイドラインには、新旧の機器に対応するバランスの取れた防護方法や安全性向上の記載が求められそうだ。
以前、ここで書いた、米国で起きたような事例もそうだけど、
業務システムのセキュリティレベルを上げて、
外部との接続をいくら遮断しようとも、
使用者の意識が低ければ無意味...
医療機関に限らずだけどね(苦笑)
不便と言われようが、
システムは、外部のネットワークから"物理的"に隔離し、
ポータブルストレージデバイスは使用できないようにし、
オフィスソフトなど余計なアプリケーションはインストールせず、
システムのプログラムのみを稼働する専用端末とする
...くらいしないと完全に防ぎきるのは無理だよね
ちなみに、文中のIoT(あい・おー・てぃ)とは
"Internet of Things"の略で「モノのインターネット」のこと
なんのこっちゃ?と思われる方もいるかもしれないので、
ちょこっとご紹介
従来、インターネットと聞けば、
パソコン、スマホ、タブレットなどの端末や
サーバー、プリンタ等の"IT関連機器"が
接続されたネットワーク...的なイメージだったけど
それ以外のモノ...
例えばTVやビデオカメラ、オーディオなどの情報家電や
冷蔵庫や洗濯機、掃除機などの生活家電や自動車など
様々な機器をインターネットを介して繋いで、
互いに情報をやりとりし、制御しあう仕組みのこと
スマートハウスが良い例だね
最近では、ウェアラブル端末などで
人や動物も繋いじゃえ!的な(笑)
ご多分に漏れず、医療業界にも、
このIoTの波が押し寄せている
こんだけ、いろんな人と多種多様な機器を扱うんだから、
当然といえば当然か...(笑)
...で、医療機器のIoT化の
メリットとリスクを以下に例示する
CHANGE MAKERSより
<メリット>
○健康状態の把握および管理がしやすくなる
例えば個々人にウェアラブル機器を装着させることで、装着している本人のみならず周囲の人間もネットワークを通じて健康情報を取得することができます。家族内お互いに健康状態を把握しやすくなったり、あるいは病院内での患者の様態をキャッチしやすくなるといったメリットがあります。また、自動的に情報は更新されるため、急激な様態の変化を素早く読み取ることもできるようになるでしょう。
○医療現場の施設機器費用を大幅に削減できる
IoT化した製品が次から次へと普及することで、医療現場での施設機器へのコストが軽減します。
<リスク>
○意図的な情報操作およびそれに伴う混乱
ネットワーク上へあがった情報を第三者が意図的に操作する可能性が考えられます。家電製品等とは異なり、医療では情報が命取りとなる場面が非常に多くあります。数値を書き換えるだけで投薬量が変わり、処置が変わります。
感染などの情報も操作されると、瞬時に混乱状態を招く危険性があります。
○機器の故障
ネットワークにつながった機器は、そうでない場合と比べて故障しやすいという傾向があります。
○プライバシー
医療に関する情報の価値は非常に高いとされています。悪意のある何者かによって情報を取得するためにサイバー攻撃を受ける可能性があります。
このようなリスクを回避するためには、以下のような課題点が挙げられます。
◆医療機器およびネットワークのセキュリティ面の強化(実績あるクラウドの活用など)
◆ネットワーク等リスク対策への包括的なアプローチ(セキュリティ標準の設定など)
◆機器の性能・品質向上
実際の医療現場では、さほど多くはないけれど、
これから増えていくだろうな
近い将来、AI(人工知能技術)も取り入れられるんだろうな...
技術面ばかり進化しても、
セキュリティをしっかりしなければ、
情報漏えいのみならず、
プログラムの書き換えによる誤作動や
遠隔操作までされかねないため、
生命に関わる重大な事故に繋がる可能性が否定できない
これからの医療機器管理は、
ネットワーク管理者との連携を密にする必要があるね
CB newsより
医療機器のウイルス感染や乗っ取りを防ごうと、厚生労働省が医療機器のサイバーセキュリティーのガイドラインを策定することが18日までに分かった。ここ数年は医療機関のウェブサイトが不正アクセスの被害を受けるケースが続出。医療機器がつながった病院内のシステムに被害はなかったが、医療機器が被害を受けた場合、患者の生死を左右する事態になりかねず、関係者は警戒を強めている。厚労省も「リスクマネジメントにより対策を実施する必要がある」としており、今年度内にガイドラインを取りまとめる方針だ。
医療機器のセキュリティー対策をめぐっては、米食品医薬品局(FDA)が2013年、医療機器や病院内のネットワークシステムがサイバー攻撃の標的になる可能性などを挙げ、医療機器メーカーや医療機関が適切な対策を講じる必要性を指摘。不正や有害な動作を行う意図で作成された「マルウェア」にネットワーク接続型の医療機器が感染するといった具体的なケースも挙げていた。
国内でも同様の事例が起きている。独立行政法人情報処理推進機構の報告書によると、金沢大附属病院で、各部門で個別に導入したシステムから、他の部門の機器にウイルス感染が広がり、診療業務への影響が発生。USBメモリ経由の侵入によるもので、ウイルス検索・駆除ツール導入後のウイルスチェックでは、1000件近くの不正プログラムが検出された機器もあったという。
こうしたセキュリティー上の脆弱性を踏まえ、内閣官房の情報セキュリティーセンターが14年に公表した、重要インフラの情報セキュリティー対策に関する行動計画では、医療機関を「重要インフラ事業者」、電子カルテや遠隔画像診断などを「重要システム」として位置付け、注意を促していた。
■サイバー対策、旗振り役の厚労省が“被害者”に
こうした警告や注意喚起にもかかわらず、不正アクセスで被害を受ける医療機関が絶えないのが実情だ。昨年12月には国立病院機構岩国医療センター(山口県)のホームページが不正アクセスを受け、改ざんされていたことが判明。新潟県も今年2月、県立柿崎病院のホームページが不正に操作された可能性があると発表した。医療関係者らにセキュリティー対策の重要性を説いていた厚労省も被害を受けており、1月にホームページがサイバー攻撃によって一時閲覧ができない状態となった。
■ガイドラインの対象は医薬品医療機器法に基づく機器
厚労省によるガイドラインの作成は、医療機器を含む機器や物などをインターネットでつなぐ「IoT(Internet of Things)」のセキュリティーに関する国の制度整備の一環。主に医薬品医療機器法に基づく機器が対象となる見通しだ。
15年4月に厚労省が出した通知では、製造販売業者に対し、▽医療機器と接続できる範囲を限定する▽セキュリティーの確保がなされていない医療機器は、接続できない設定にするなど注意喚起を行う▽医療機関に必要な情報提供を行う―などの措置を求めていた。
ガイドラインには、この通知を踏まえた対策が盛り込まれるとみられる。ただ、今後製造される機器のセキュリティーを向上させても、現在使用中の機器の改修を同時並行で進めなければ、医療機関内に“セキュリティーホール”が生じる恐れもある。ガイドラインには、新旧の機器に対応するバランスの取れた防護方法や安全性向上の記載が求められそうだ。
以前、ここで書いた、米国で起きたような事例もそうだけど、
業務システムのセキュリティレベルを上げて、
外部との接続をいくら遮断しようとも、
使用者の意識が低ければ無意味...
医療機関に限らずだけどね(苦笑)
不便と言われようが、
システムは、外部のネットワークから"物理的"に隔離し、
ポータブルストレージデバイスは使用できないようにし、
オフィスソフトなど余計なアプリケーションはインストールせず、
システムのプログラムのみを稼働する専用端末とする
...くらいしないと完全に防ぎきるのは無理だよね
ちなみに、文中のIoT(あい・おー・てぃ)とは
"Internet of Things"の略で「モノのインターネット」のこと
なんのこっちゃ?と思われる方もいるかもしれないので、
ちょこっとご紹介
従来、インターネットと聞けば、
パソコン、スマホ、タブレットなどの端末や
サーバー、プリンタ等の"IT関連機器"が
接続されたネットワーク...的なイメージだったけど
それ以外のモノ...
例えばTVやビデオカメラ、オーディオなどの情報家電や
冷蔵庫や洗濯機、掃除機などの生活家電や自動車など
様々な機器をインターネットを介して繋いで、
互いに情報をやりとりし、制御しあう仕組みのこと
スマートハウスが良い例だね
最近では、ウェアラブル端末などで
人や動物も繋いじゃえ!的な(笑)
ご多分に漏れず、医療業界にも、
このIoTの波が押し寄せている
こんだけ、いろんな人と多種多様な機器を扱うんだから、
当然といえば当然か...(笑)
...で、医療機器のIoT化の
メリットとリスクを以下に例示する
CHANGE MAKERSより
<メリット>
○健康状態の把握および管理がしやすくなる
例えば個々人にウェアラブル機器を装着させることで、装着している本人のみならず周囲の人間もネットワークを通じて健康情報を取得することができます。家族内お互いに健康状態を把握しやすくなったり、あるいは病院内での患者の様態をキャッチしやすくなるといったメリットがあります。また、自動的に情報は更新されるため、急激な様態の変化を素早く読み取ることもできるようになるでしょう。
○医療現場の施設機器費用を大幅に削減できる
IoT化した製品が次から次へと普及することで、医療現場での施設機器へのコストが軽減します。
<リスク>
○意図的な情報操作およびそれに伴う混乱
ネットワーク上へあがった情報を第三者が意図的に操作する可能性が考えられます。家電製品等とは異なり、医療では情報が命取りとなる場面が非常に多くあります。数値を書き換えるだけで投薬量が変わり、処置が変わります。
感染などの情報も操作されると、瞬時に混乱状態を招く危険性があります。
○機器の故障
ネットワークにつながった機器は、そうでない場合と比べて故障しやすいという傾向があります。
○プライバシー
医療に関する情報の価値は非常に高いとされています。悪意のある何者かによって情報を取得するためにサイバー攻撃を受ける可能性があります。
このようなリスクを回避するためには、以下のような課題点が挙げられます。
◆医療機器およびネットワークのセキュリティ面の強化(実績あるクラウドの活用など)
◆ネットワーク等リスク対策への包括的なアプローチ(セキュリティ標準の設定など)
◆機器の性能・品質向上
実際の医療現場では、さほど多くはないけれど、
これから増えていくだろうな
近い将来、AI(人工知能技術)も取り入れられるんだろうな...
技術面ばかり進化しても、
セキュリティをしっかりしなければ、
情報漏えいのみならず、
プログラムの書き換えによる誤作動や
遠隔操作までされかねないため、
生命に関わる重大な事故に繋がる可能性が否定できない
これからの医療機器管理は、
ネットワーク管理者との連携を密にする必要があるね
0 件のコメント:
コメントを投稿