医療機器のIot化の前にセキュリティリスクの再考を...

2016年9月12日月曜日

お仕事 パソコン 時事ネタ

医療機器のサイバーセキュリティ上のリスクを減らす方法
「サイバーセキュリティはITの問題だ」といったアプローチはもはや通用しない。

By:David Reich and Steven McAleer, Foliage社

医療機器はますます、医療システムのネットワークやインターネット、データ・リポジトリ、分析エンジン、その他の医療機器といったものに接続するようになってきている。この「接続性」によって機器の臨床的価値は高まる一方、サイバー上の脅威に対する脆弱性も大きくなる。

この厳しい現実はもちろん、医療に限られることではない。2016年2月に発表された世界経済フォーラムのグローバル・リスク報告書によると、世界中の90%の会社はサイバー攻撃に対する防御が十分ではないと認識している。このような現状は、大量の顧客データを流出させた大企業や流通組織におけるセキュリティ侵害事件によって裏づけられている。

戦略国際問題研究所では世界経済のおけるサイバー犯罪のコストを年間4兆4,500億ドル以上と概算している。
患者の安全が脅かされる

医療・ヘルスケア分野では、個人情報への脅威となるだけでなく、患者の安全が脅かされるという点で、サイバー犯罪の影響力が決定的に異なる。2015年7月にFDAは、ある輸液ポンプのサイバーセキュリティ上の脆弱性について警告する安全性通達を発表した。FDAの通達では、不正アクセスのリスクに言及しながら、医療機関に対して機器をネットワークから外し他のシステムに移行することを推奨している。

2014年にFDAは、サイバーセキュリティを医療機器開発に組み込むことに焦点を当てたガイダンスを発表した。このガイダンスでは、最新の法制や審議中の法制に触れながら、製造業者の責任を増し、サイバーセキュリティ侵害に関連した罰則を強化している。これによって、医療・ヘルスケア製品の開発責任の状況は変わり、組織が適切なデューデリジェンスを遂行できないと、侵害があった場合により厳しい罰則が科される可能性がある。単に極秘情報が漏えいするという問題ではなく、この問題に対するFDAの高い関心は、サイバーセキュリティ侵害は重大な患者の傷害あるいは死亡につながる可能性があるという事実に基づいている。

また、医療提供者側も医療機器メーカーの責任に注目しつつある。現在では多くの医療提供者が、医療機器関連業者に法的な事業提携契約書(BAA)に署名することを要求しており、機器の原因によるデータ侵害の責任を共有するか、あるいは委譲しようとしている。これによって、サイバー上の脅威を積極的に解決しないという怠慢から生じる法的あるいは規制上の措置に加えて、財務上の損失やビジネスの中断、ブランド価値への打撃といた製造業者のビジネスリスクが浮き彫りとなった。

問題を再構成せよ

潜在的なリスクを大きくしてしまっている、多くの医療・ヘルスケア機器製造業者がサイバーセキュリティに関して持っている考え方である。従来のアプローチでは、会社のネットワークと技術的インフラを防御することに焦点を合わせていた。言い換えるなら、「サイバーセキュリティはITの問題」だったのだが、このようなアプローチはもはや通用しない。

医療技術に関する会社は、自社の製品、ビジネスリスク、顧客や患者に関係することとして、サイバーセキュリティを今までとは違う見方で捉える必要がある。今日、医療機器が複雑で相互に接続する性質をもっている以上、サイバーセキュリティは製品にとって不可欠で、後回しにできない。サイバーセキュリティは、システム・アーキテクチャーからはじまり、製品開発の過程全体にわたって継続する中心的な課題である。また、サイバーセキュリティは技術部門だけでなく、会社の役員室からリスク管理、R&D、法務、広報といった全部門にわたるステークホルダーたちによって中心的課題とされるべきである。

リスクを減らすためのステップ

サイバーセキュリティに取り組むことは、それがコア技術ではない機器メーカーにとっては非常な難題である。しかし、リスクファクターを減らし、コンプライアンスを確立するために必要なステップを取ることに前向きな会社は有効なサイバーセキュリティを達成することができる。十分なリスク評価を行い、適切にプランを構成し、そのプランを正確に実施することはすべて、サイバーセキュリティを成功させることを通じて組織的なリスクを減らすために必須のステップである。

許容できるリスクレベルを特定する

すべてのリスクをなくすための方法は立証できないため、有効性のあるセキュリティ・コントロールを決定するためには、許容できるリスクレベルを定義する必要がある。この定義を行わないと、サイバーセキュリティへの投資は無方針となり、結果的に利益のない投資になりかねない。この新たな定義を行うために、以下の質問について検討することで製品のリスクを項目化しなければならない:


  • 何が脆弱性であり、どこに脆弱性があるか?
  • この脆弱性を悪用して何ができるか?
  • 予期されない、あるいは気づかれもしない形でエントリーポイントが悪用されると、どの程度の害があるか?

これらの潜在的な害の影響を定量化することによって、企業は致命的な脆弱性を特定することができる。ある組織はすでにサイバーセキュリティのコントロールを実装し、特定された脆弱性から直接防御するために、このコントロールを高め、連携させることができるかもしれない。このようなことは、安全性リスクを減らし、関連する法的あるいはビジネス上のリスクをコントロールするために非常に重要である。

継続的にサイバーセキュリティのリスクを評価する

製品開発のライフサイクルを通じて、リスクを評価し、その低減方法を適切に更新していくことは極めて重要である。このプロセスは、組織の品質管理システム(QMS)に影響を与える可能性があるが、従業員における教育的努力にもかかわってくる。製品開発チームは何を探すべきかを理解し、安全な開発戦略について熟知していなければならない。これは多くの組織にとって困難な課題かもしれないが、暗号化やデジタル署名、その他の技術的コントロールには、プロセスを支援するために用いることができる多くの先行技術がある。

サイバーセキュリティを確保するための有意義な発展を達成するために、組織は認識されたギャップを埋めなくてはならない。製品構造の複雑性にもよるが、これは簡単な作業ではないかもしれない。この作業にとって、最初のリスク評価は極めて重要なインプットである。許容できるリスクレベルに基づいて、製品開発者は、患者を守るだけでなく医療機器メーカーを守る製品を設計することができる。効果のないセキュリティ・コントロールを増やさないように、セキュリティ・コントロールを評価し、それによって利益をもたらす活動への開発投資に注力することができる。

新たなリスク、新たなアプローチ

今日のように接続性が非常に高まった世界では、セキュリティへの攻撃は現実的な問題だ。医療・健康関連製品がより接続性を増すほど、サイバー攻撃の頻度と精巧さが増し、サイバー攻撃によるリスクは影響力を高めている。財務上の損失、製品リコール、患者への危険、ブランド力の失墜といったリスクに加えて、規制当局より営業停止命令を受けるリスクもある。さらに、医療技術を扱う企業にとってより大きなリスクは、「未知のリスク」、つまり事前の計画や専門知識が不十分なために見過ごされてしまうサイバー上の脆弱性かもしれない。

これらのリスクは開発中の新製品だけでなく、既存製品にも伴うものである。FDAのドラフト・ガイダンスでは、製造業者が「医療機器の市販後管理の一環として、サイバーセキュリティの脆弱性や弱点を、監視し、特定し、解決する」ことを推奨している。この推奨はFDAによる医療機器のサイバーセキュリティ管理の市販前ガイダンスに追加されている。

サイバーセキュリティ上のリスクを効果的に管理するために、CEOからリスク管理担当者、法務や技術のトップに至るビジネスリーダーたちは、以下の重要な質問を自らに問うてみる必要がある:


  • 自社の製品や設計に含まれるセキュリティ上の脆弱性について十分に検討したか?
  • 製品開発のライフサイクルにわたって、サイバーセキュリティのリスク管理を優先してきたか?
  • 新製品か既存製品かにかかわらず、潜在的な脆弱性を解決するために必要な専門知識と専門能力を有しているか?
  • リスク低減の観点で、サイバーセキュリティに対するどのような投資が最も高いROIにつながるかを特定できる専門知識を有しているか?

これらの重要な質問に「Yes」と答えるために、医療機器メーカーはアプローチを変え、製品開発とサポート戦略においてサイバーセキュリティを中心に考える必要がある。組織全体に浸透するセキュリティ意識の文化を作り、それが必要な時と場所で社内の専門知識を強化することによって、会社はサイバーセキュリティ上のリスクを減らす準備ができ、顧客の信頼を獲得し、市場での優位性を得ることができるだろう。

どれだけ普及しているかは不明だが、
現状考えられる(...と、言うか、オレが思いついた)
医療機器の遠隔操作やモニタリングを以下に挙げてみた

  • 遠隔画像診断(X線、病理など)
  • 生体情報遠隔モニタリング(ECG、血糖など)
  • 心臓植込み型デバイス遠隔モニタリング
  • 遠隔在宅酸素療法(CPAPなど人工呼吸器含む)
  • 投薬遠隔管理(インスリンポンプなど)
  • 在宅透析通信システム
...くらいかな?
VPNなどのセキュアな専用回線で繋いでいるからと言って、
絶対安全と言えるのかな?

院内ネットワークに存在する医療機器だって同じ
メーカーとオンラインメンテナンスなんか行っていたら、
外部と繋がっているのと同じ...

院内ネットワークのみだとしても、
誰でも容易に、USBメモリなどのストレージと接続できたりと、
セキュリティ対策がきちんとなされていなければ、
無意味だよね

情報が駄々漏れになるばかりか、
最悪、遠隔操作なんかされたりして、
患者さんの生命が脅かされる事態も想定しておかないとね

透析通信システムなんか、
治療条件の設定なんかできちゃうんだから、
外部から不正アクセスされたら、危険度高いよね(汗)

便利だからと、簡単に手を出したくなるけど、
事前にメーカーやネットワーク管理者と協議の上、
責任の所在を明確にしておく必要があると考えます(苦笑)