最近、厚労省から日臨工宛に
こんな↓通知が来てたのご存知?
要は、院内の医療機器のサイバーセキュリティ対策を
製造販売業者(メーカー)と連携してやっといてね...ってこと(苦笑)
対象となる医療機器は...
近年、お目にかかってないけどな(苦笑)
最近、医療機器のIot化や遠隔監視なんてフレーズが流行っているけど、
セキュリティ対策が追いついているのか心配(汗)
海外じゃ神経質なくらい対策練っているようだけど、
日本って、利便性ばかりを求めて
リスク対策は事が起きてからじゃなきゃ動かないところがあるからな(苦笑)
医療機器のサイバーセキュリティの現状と展望
Medtec Japanより
By:茗原秀幸〔一般社団法人保健医療福祉情報システム工業会(JAHIS)セキュリティ委員会 委員長〕
1.はじめに
近年、オープンネットワークに接続された医療機器の問題がクローズアップされ、各国政府や業界団体などが対策について検討を行ってきた。患者安全の観点からのSafetyマネジメントと情報セキュリティの観点からのSecurityマネジメントの混合案件として、対応が注目されている。
本論文では、医療機器のサイバーセキュリティの問題点と、その解決に向けた国や工業会のアプローチについて述べる。
2.医療機器とサイバーセキュリティ
医療機器のサイバーセキュリティ問題が注目を浴びるようになった大きなポイントは2011年にインスリンポンプにおける脆弱性に対するハッキング実験が成功した(J. Radcliffe, Hacking medical devices for fun and insulin: Breaking the human scada system, Black Hat USA 2011)ことである。この実験ではインスリンの投与量を変更するなどの致死性の攻撃が可能になることを示した。
それ以降、医療機器のサイバーセキュリティが注目され、2013年のICS-CERT(The Industrial Control Systems Cyber Emergency Response Team)の調査の結果、多くの医療機器のパスワード等がハードコードされていることが判明した〔ICS-CERT, Alert (ICS-ALERT-13-164-01) Medical Devices Hard-Coded Passwords, http://ics-cert.us-cert.gov/alerts/ICS-ALERT-13-164-01〕。
これらの状況を受け、FDA(Food and Drug Administration)や厚生労働省などが対策に取り組むこととなった。そして2015年7月、FDAは医療機器のサイバーセキュリティ対策の不備について有害事象として警告を発信した(https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm456815.htm)。FDAは当該システムの使用を中止し、他システムへ移行することを強く勧めている。(当該機器はFTPとTELNETのポートにアクセス可能となっていたため、本来権限のない第三者が注入量の変更を行える状態にあった。)
3.患者安全と情報セキュリティ
従来、患者安全の考え方は国際標準のISO 14971(JIS T 14971)「医療機器-リスクマネジメントの適用」に基づいて行われることが一般的であった。ISO 14971におけるハザード(危害の潜在的な源)の分析においては、「意図する使用および合理的に予見できる誤った使用」を想定し、「予見可能」なものを検討することとなっている。そのため、既存のリスクアセスメントにおいて、「悪意をもった外部からの攻撃」をハザードとして規定することは殆ど行われてこなかった。
また、医薬品・医療機器等法においても、基本的には医療機器単体におけるリスクマネジメントを求めており、組織による多層防御によって実行されるサイバーセキュリティ対策の考え方を持ち込むことは簡単ではない状況であった。
情報セキュリティの観点から見れば、サイバーセキュリティを考えるのは医療機器を利用する医療機関である。厚生労働省から「医療情報システムの安全管理に関するガイドライン」が発行されており、医療機関はガイドラインの遵守が求められている。医療機関は、国からの要請を満たす形で自らの組織に対するサイバー攻撃等から情報資産を防護するための技術的対策や運用的対策を行っている。
医療機関が適切なセキュリティ対策を実施すれば医療機関内部にセキュアゾーン(サイバー攻撃に対する一定のセキュリティが確保されたエリア)を構築し、医療機器をセキュアゾーン内で利用することが可能であるため、医療機器に求める情報セキュリティのレベルは利用する医療機関の情報セキュリティのレベルによって異なってくる。たとえば基幹系と情報系を完全に分離した場合、基幹系はオープンネットワークとは隔離され、基幹系に接続される医療機器はサイバー攻撃のターゲットになる可能性は非常に小さい。
http://www.medtecjapan.com/sites/default/files/images/jahis_cybersecurity_1_Jul_2017_L.jpg
医療機器の運用において数秒の遅れが死に直結する可能性のある医療分野においては、可用性が重視されており、不正アクセス防止のための認証機能は可用性の観点で見ると、むしろセキュリティレベルを低下させる。(たとえば、不正利用を防止するために利用者認証機能を組み込んだ結果、認証手続きによって対処が数秒遅れたため、患者が死亡することを許容できるかという問題。)このことは、医療機器が取るべき情報セキュリティ対策として、常にオープンネットワークにさらされている前提の対策を実施することが適切ではないことを示している。オープンネットワーク接続を前提としたセキュリティ対策の強化は、製品コストが上昇するのみならず、利用する側の環境によっては可用性が低下することになりかねない。
4.医療機器の情報セキュリティ対策の問題点
医療機器は医薬品・医療機器等法によって基準適合認証を受けた機器であるため、ソフトウェアのアップデート等内容の変更が発生する場合は届出あるいは再認証を受ける必要が生じる。情報セキュリティ対策を追加することで認証の取り直しが発生する可能性があり、簡単に機能の追加変更が出来ない。
また、情報システムであれば概ね5~6年程度で更新されるのが一般的であるが、医療機器の場合10年以上使用されるケースも十分あり、OSにいまだにWindowsXPが利用されている機器も数多く残存している。OSのアップデートや不具合対策のモジュール適用も、当該モジュールに医療機器としての本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しい。これらのことから、医療機器のセキュリティ対策は一般の情報システムに比べて適用が難しい状況となっている。
5.日本における規制と工業会の対応
厚生労働省はこれらの状況を受け、2015年4月28日に厚生労働省通知「医療機器におけるサイバーセキュリティの確保について」を発出した(https://www.pmda.go.jp/files/000204891.pdf)。本通知において、サイバーリスクについても既知または予期しうる危害として識別し、必要な措置を行うことを製造業者に求めた。具体的には以下の3点である。(筆者要約:正式には原文を参照願う)
(1)サイバーリスクを含む危険性を評価・除去し、適切な対策を行うこと。
(2)サイバーセキュリティの確保が出来ていない機器に対する注意喚起を行うこと。
(3)医療機関においてサイバーセキュリティの確保が出来るように、必要な情報を提供して連携を図ること。
この通知は日本においては他の業種の対応と比較して先進的かつ画期的なものであった。他の業界においては、例えばPL法のような既存の枠組みの中でサイバーセキュリティに対処しようとしていた時期に、Safetyのリスクマネジメントにおいてサイバーリスクをハザードとして定義することを医療機器製造業者に要求している。(サイバーリスクをリスクマネジメントの対象として求めた業種横断的なガイドラインとしては、総務省と経済産業省による「IoTセキュリティガイドライン」があるが、発行されたのは厚生労働省通知の一年以上後の2016年7月である。)
この厚生労働省通知において重要なのは(2)と(3)である。既存の実際に使用されているサイバーセキュリティの確保が出来ていない医療機器を許容した上で、残存リスクがある旨を利用者に注意喚起させ、医療機関の組織としての情報セキュリティ対策を施すことで、既存の機器のセキュアゾーン内などでの利用を可能としている。既存製品の回収のような重大なインパクトを与えず、医療機器製造業者各社に追加のリスクアセスメントを求めることでサイバーセキュリティ対策を啓発する非常にバランスの取れたものとなっている。
通知発行後の対応を見ると、医療機器製造業者においては製品のライフサイクルマネジメントの必要性はsafetyマネジメントの観点から十分に認識されており、納入後のサポートを含めた医療機器製造業者の対応は従来から行われていたため、脆弱性の修正が容易に出来るか否かは別として、出荷後の保守対応の考え方は問題なく受け入れられた。
現実の運用においては、医療機器製造業者は医療機器に対してどのようなセキュリティ対策が行われているかを利用者に対して明確にすることが求められており、医療機関は機器単体では未対策な残存リスクに対する防護を組織としての技術的対策や運用的対策などでカバーする必要がある。
実際に通知が発行された後の工業会の対応も迅速であった。JEITA(一般社団法人 電子情報技術産業協会)、JIRA(一般社団法人 日本画像医療システム工業会)、JAHIS(一般社団法人 保健医療福祉情報システム工業会)の医療機器に関連する三工業会が合同のプロジェクトチームを設置し、各国の具体的な規制やガイダンス、国際標準化の動向を踏まえ、各工業会の会員に対するサイバーセキュリティ対策の周知や啓発活動を積極的に実施した。
特にJAHISとJIRAの合同WGにより策定された「製造業者による医療情報セキュリティ開示書」ならびにその記述方式を解説したガイドは厚生労働省通知への対応を説明する上で非常に有用な文章となっている。医療機関が遵守すべき「医療情報システムの安全管理に関するガイドライン」における要求事項に対する技術的対策の対応状況をチェックシートに記載可能となっており、医療機関から見れば、業界統一フォーマットで医療機器や医療情報システムの情報セキュリティ対策機能を集積し、医療機関のセキュリティマネジメントに役立てることが可能となっている。
また、JEITAからは2017年3月に「医療機器サイバーセキュリティ技術報告書」が発行され、医療機器のサイバーセキュリティに関する規制や国際標準、業界標準など、会員会社がリスクマネジメントを実施する上での判断材料を提供している。
6.今後に向けて:関係者の協調による対応の必要性
サイバーセキュリティに対処するには、医療機器に対する医療安全を守る医療機器製造業者、組織としての情報セキュリティ対策を行う医療機関、脆弱性情報の分析や情報提供を行うセキュリティの監視機関、規制やガイダンスを提供する国や自治体などが協調して対応する必要があり、どれが欠けても適切な対策を実施できない。
情報共有の仕組みやインシデント発生時のエスカレーションルールの策定など、迅速に対応できる仕組みの構築が求められる。JAHISに所属する筆者としても、関係団体と連携してより適切な対応体制を構築すべく鋭意努力していきたいと考えている。
こんな↓話題が出ると、
仕事柄、なんだかワクワクするよね(笑)
有用な人工呼吸器の遠隔監視システム|医療ニュース|Medical Tribune
でも、こんな↓ことや...
「心臓のペースメーカーはハッキング可能でいまだに対処されていない」とセキュリティ研究者が警告 - GIGAZINE
こんな↓ことが懸念されるんだよね...(汗)
ネットに繋がった医療機器のヤバすぎる実態 | 先端科学・研究開発 | 東洋経済オンライン | 経済ニュースの新基準
リスクを洗い出し、
対策を練ってから使い始めるのか?
それとも事が起きてから対策するのか?
事が起きた際の責任の所在は?
情報インフラ(ネットワーク)の管理部門?(事務方?)
医療機器の管理部門?(臨床工学技士?)
利便性が向上するにつれ、対応は急務と考える
この件に関して、今後、臨床工学技士は、
具体的にどう対応したら良いのでしょうか?
こんな↓通知が来てたのご存知?
要は、院内の医療機器のサイバーセキュリティ対策を
製造販売業者(メーカー)と連携してやっといてね...ってこと(苦笑)
対象となる医療機器は...
- 医療機器のうちプログラムを使用したもの(医療機器プログラムを含む。)
- 付属品等にプログラムを含むもの
- 医療機器と接続して使用する又は併用される IT 機器等(医療機器に該当しないもので、プログラム単体の場合を含む。)を医療機器の構成(付属品等)として提供する場合
近年、お目にかかってないけどな(苦笑)
最近、医療機器のIot化や遠隔監視なんてフレーズが流行っているけど、
セキュリティ対策が追いついているのか心配(汗)
海外じゃ神経質なくらい対策練っているようだけど、
日本って、利便性ばかりを求めて
リスク対策は事が起きてからじゃなきゃ動かないところがあるからな(苦笑)
医療機器のサイバーセキュリティの現状と展望
Medtec Japanより
By:茗原秀幸〔一般社団法人保健医療福祉情報システム工業会(JAHIS)セキュリティ委員会 委員長〕
1.はじめに
近年、オープンネットワークに接続された医療機器の問題がクローズアップされ、各国政府や業界団体などが対策について検討を行ってきた。患者安全の観点からのSafetyマネジメントと情報セキュリティの観点からのSecurityマネジメントの混合案件として、対応が注目されている。
本論文では、医療機器のサイバーセキュリティの問題点と、その解決に向けた国や工業会のアプローチについて述べる。
2.医療機器とサイバーセキュリティ
医療機器のサイバーセキュリティ問題が注目を浴びるようになった大きなポイントは2011年にインスリンポンプにおける脆弱性に対するハッキング実験が成功した(J. Radcliffe, Hacking medical devices for fun and insulin: Breaking the human scada system, Black Hat USA 2011)ことである。この実験ではインスリンの投与量を変更するなどの致死性の攻撃が可能になることを示した。
それ以降、医療機器のサイバーセキュリティが注目され、2013年のICS-CERT(The Industrial Control Systems Cyber Emergency Response Team)の調査の結果、多くの医療機器のパスワード等がハードコードされていることが判明した〔ICS-CERT, Alert (ICS-ALERT-13-164-01) Medical Devices Hard-Coded Passwords, http://ics-cert.us-cert.gov/alerts/ICS-ALERT-13-164-01〕。
これらの状況を受け、FDA(Food and Drug Administration)や厚生労働省などが対策に取り組むこととなった。そして2015年7月、FDAは医療機器のサイバーセキュリティ対策の不備について有害事象として警告を発信した(https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm456815.htm)。FDAは当該システムの使用を中止し、他システムへ移行することを強く勧めている。(当該機器はFTPとTELNETのポートにアクセス可能となっていたため、本来権限のない第三者が注入量の変更を行える状態にあった。)
3.患者安全と情報セキュリティ
従来、患者安全の考え方は国際標準のISO 14971(JIS T 14971)「医療機器-リスクマネジメントの適用」に基づいて行われることが一般的であった。ISO 14971におけるハザード(危害の潜在的な源)の分析においては、「意図する使用および合理的に予見できる誤った使用」を想定し、「予見可能」なものを検討することとなっている。そのため、既存のリスクアセスメントにおいて、「悪意をもった外部からの攻撃」をハザードとして規定することは殆ど行われてこなかった。
また、医薬品・医療機器等法においても、基本的には医療機器単体におけるリスクマネジメントを求めており、組織による多層防御によって実行されるサイバーセキュリティ対策の考え方を持ち込むことは簡単ではない状況であった。
情報セキュリティの観点から見れば、サイバーセキュリティを考えるのは医療機器を利用する医療機関である。厚生労働省から「医療情報システムの安全管理に関するガイドライン」が発行されており、医療機関はガイドラインの遵守が求められている。医療機関は、国からの要請を満たす形で自らの組織に対するサイバー攻撃等から情報資産を防護するための技術的対策や運用的対策を行っている。
医療機関が適切なセキュリティ対策を実施すれば医療機関内部にセキュアゾーン(サイバー攻撃に対する一定のセキュリティが確保されたエリア)を構築し、医療機器をセキュアゾーン内で利用することが可能であるため、医療機器に求める情報セキュリティのレベルは利用する医療機関の情報セキュリティのレベルによって異なってくる。たとえば基幹系と情報系を完全に分離した場合、基幹系はオープンネットワークとは隔離され、基幹系に接続される医療機器はサイバー攻撃のターゲットになる可能性は非常に小さい。
http://www.medtecjapan.com/sites/default/files/images/jahis_cybersecurity_1_Jul_2017_L.jpg
医療機器の運用において数秒の遅れが死に直結する可能性のある医療分野においては、可用性が重視されており、不正アクセス防止のための認証機能は可用性の観点で見ると、むしろセキュリティレベルを低下させる。(たとえば、不正利用を防止するために利用者認証機能を組み込んだ結果、認証手続きによって対処が数秒遅れたため、患者が死亡することを許容できるかという問題。)このことは、医療機器が取るべき情報セキュリティ対策として、常にオープンネットワークにさらされている前提の対策を実施することが適切ではないことを示している。オープンネットワーク接続を前提としたセキュリティ対策の強化は、製品コストが上昇するのみならず、利用する側の環境によっては可用性が低下することになりかねない。
4.医療機器の情報セキュリティ対策の問題点
医療機器は医薬品・医療機器等法によって基準適合認証を受けた機器であるため、ソフトウェアのアップデート等内容の変更が発生する場合は届出あるいは再認証を受ける必要が生じる。情報セキュリティ対策を追加することで認証の取り直しが発生する可能性があり、簡単に機能の追加変更が出来ない。
また、情報システムであれば概ね5~6年程度で更新されるのが一般的であるが、医療機器の場合10年以上使用されるケースも十分あり、OSにいまだにWindowsXPが利用されている機器も数多く残存している。OSのアップデートや不具合対策のモジュール適用も、当該モジュールに医療機器としての本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しい。これらのことから、医療機器のセキュリティ対策は一般の情報システムに比べて適用が難しい状況となっている。
5.日本における規制と工業会の対応
厚生労働省はこれらの状況を受け、2015年4月28日に厚生労働省通知「医療機器におけるサイバーセキュリティの確保について」を発出した(https://www.pmda.go.jp/files/000204891.pdf)。本通知において、サイバーリスクについても既知または予期しうる危害として識別し、必要な措置を行うことを製造業者に求めた。具体的には以下の3点である。(筆者要約:正式には原文を参照願う)
(1)サイバーリスクを含む危険性を評価・除去し、適切な対策を行うこと。
(2)サイバーセキュリティの確保が出来ていない機器に対する注意喚起を行うこと。
(3)医療機関においてサイバーセキュリティの確保が出来るように、必要な情報を提供して連携を図ること。
この通知は日本においては他の業種の対応と比較して先進的かつ画期的なものであった。他の業界においては、例えばPL法のような既存の枠組みの中でサイバーセキュリティに対処しようとしていた時期に、Safetyのリスクマネジメントにおいてサイバーリスクをハザードとして定義することを医療機器製造業者に要求している。(サイバーリスクをリスクマネジメントの対象として求めた業種横断的なガイドラインとしては、総務省と経済産業省による「IoTセキュリティガイドライン」があるが、発行されたのは厚生労働省通知の一年以上後の2016年7月である。)
サイバーリスクをハザードとして定義した例 |
通知発行後の対応を見ると、医療機器製造業者においては製品のライフサイクルマネジメントの必要性はsafetyマネジメントの観点から十分に認識されており、納入後のサポートを含めた医療機器製造業者の対応は従来から行われていたため、脆弱性の修正が容易に出来るか否かは別として、出荷後の保守対応の考え方は問題なく受け入れられた。
現実の運用においては、医療機器製造業者は医療機器に対してどのようなセキュリティ対策が行われているかを利用者に対して明確にすることが求められており、医療機関は機器単体では未対策な残存リスクに対する防護を組織としての技術的対策や運用的対策などでカバーする必要がある。
医療機関と医療機器製造業者の役割分担 |
特にJAHISとJIRAの合同WGにより策定された「製造業者による医療情報セキュリティ開示書」ならびにその記述方式を解説したガイドは厚生労働省通知への対応を説明する上で非常に有用な文章となっている。医療機関が遵守すべき「医療情報システムの安全管理に関するガイドライン」における要求事項に対する技術的対策の対応状況をチェックシートに記載可能となっており、医療機関から見れば、業界統一フォーマットで医療機器や医療情報システムの情報セキュリティ対策機能を集積し、医療機関のセキュリティマネジメントに役立てることが可能となっている。
また、JEITAからは2017年3月に「医療機器サイバーセキュリティ技術報告書」が発行され、医療機器のサイバーセキュリティに関する規制や国際標準、業界標準など、会員会社がリスクマネジメントを実施する上での判断材料を提供している。
6.今後に向けて:関係者の協調による対応の必要性
サイバーセキュリティに対処するには、医療機器に対する医療安全を守る医療機器製造業者、組織としての情報セキュリティ対策を行う医療機関、脆弱性情報の分析や情報提供を行うセキュリティの監視機関、規制やガイダンスを提供する国や自治体などが協調して対応する必要があり、どれが欠けても適切な対策を実施できない。
医療機器のサイバーセキュリティにおける関係者 |
こんな↓話題が出ると、
仕事柄、なんだかワクワクするよね(笑)
有用な人工呼吸器の遠隔監視システム|医療ニュース|Medical Tribune
でも、こんな↓ことや...
「心臓のペースメーカーはハッキング可能でいまだに対処されていない」とセキュリティ研究者が警告 - GIGAZINE
こんな↓ことが懸念されるんだよね...(汗)
ネットに繋がった医療機器のヤバすぎる実態 | 先端科学・研究開発 | 東洋経済オンライン | 経済ニュースの新基準
リスクを洗い出し、
対策を練ってから使い始めるのか?
それとも事が起きてから対策するのか?
事が起きた際の責任の所在は?
情報インフラ(ネットワーク)の管理部門?(事務方?)
医療機器の管理部門?(臨床工学技士?)
利便性が向上するにつれ、対応は急務と考える
この件に関して、今後、臨床工学技士は、
具体的にどう対応したら良いのでしょうか?
0 件のコメント:
コメントを投稿