医療機器のセキュリティ対策は現場レベルで

病院の大半がマルウェアに感染--医療機器のIoT化で高まる危険
CNET Japanより

---

BlackBerryは、病院などの医療機関がサイバーセキュリティの脅威にさらされているとして、ブログで注意を呼びかけた。具体的には、医療機関の75％がマルウェアに攻撃されており、その多くがランサムウェアによる攻撃だったという。

現代の病院では、会計システムや電子カルテのシステムといったデジタルプラットフォームが相互接続されており、モノのインターネット（IoT）導入も進んでいる。こうしたシステムで管理される患者の健康やプライバシにかかわる情報は、攻撃者にとっては極めて価値が高く、サイバー攻撃の標的にされやすい。

IoT対応のヘルスケア機器は、患者や機器の状態などをリアルタイムに取得できるため、医療行為にもたらすメリットが大きい。ただし、IoT機器には、セキュリティの面でアキレスけんになる危険性もある。

例えば、米国で2016年秋に発生したマルウェア「Mirai」による大規模な分散型サービス妨害（DDoS）攻撃は、IoTボットネットを悪用したものだった。このときサービス停止に追い込まれたのはNetflixやTwitterだが、病院のシステムが攻撃対象になってもおかしくない。インターネット接続された輸液ポンプ、心臓モニター、放射線装置、呼吸装置などが攻撃されたら、命にかかわる問題を引き起こしかねない。

そこで、BlackBerryは以下のとおり、10項目のセキュリティ対策を提案した。

• スタッフに対し、フィッシング詐欺、ランサムウェア攻撃、その他メールに関連する脅威の見極め方と避け方を教育する。
• メール用ソリューション、コラボレーションツール、重要なアプリをまとめて管理し、取り扱い要注意な情報を守る。
• デジタル権利管理の保護策を導入し、ヘルスケアデータのファイルを守る。
• 統合型（ユニファイド）エンドポイント管理ソリューションを利用し、ノートPC、デスクトップPC、タブレット、スマートフォン、ウェアラブルデバイス、IoTデバイスを守る。
• 患者やスタッフとテキストメッセージ交換や通話、コラボレーションする場合は、安全なコミュニケーションツールを使う。
• 使っているすべてのデバイスで2段階認証などの多因子認証を利用する。
• セキュリティ分野のベストプラクティスに従ってデータを暗号化する。
• 個人情報が脅威にさらされていないかどうか、システムを検査する。
• 危機的状況に対応できるよう、然るべきシステムを用意し、医療従事者に準備させる。
• セキュリティを根本から確保できるよう、DTSecなどのセキュリティ標準に対応する。

ヘルスケア業界は、マルウェア流行期に入ったという。患者のプライバシと生命を守るようセキュリティ対策することが、医療関係者に求められているそうだ。

---

どうも日本って、利便性が最優先で、
リスクは起きてから対応って感じが否めないよね

情報漏えいだけじゃ済まない、
患者さんの生命を脅かす自体に繋がることへの
危機感を持たないとね...
実際には、まだ何も起きてないんで、
現実味を感じてないんだろうね（苦笑）

WAN（外部ネットワーク）に繋がってなくても、
LAN（内部ネットワーク）だけでも起こり得るからね
（USBメモリとかでね...汗）

現場で業務上PC端末を利用する者には、
最低限理解（実践）してなきゃならないことを、
徹底して教育しないと、
事が起きてからじゃ手遅れ

医療機器を扱う臨床工学技士と
ネットワーク（セキュリティ）管理者が協調して
対策を考えておくべきでしょうね（汗）