2018年11月3日土曜日

益々、重要性を増す、医療機器のサイバーセキュリティ対策

サイバーセキュリティネタばかりでスンマソン(汗)

これ関連のことを大学で勉強しているからとか、
これ関連のライセンスを狙っている(取った)からとか、
そういう訳ではないんです...(汗)

この件に関して、
臨床工学技士に広く知っていただきたいというのは当然として、
広めなくてはならない(私的な?)事情ができてしまったもので...
(事情については、またいずれ:苦笑)

IoT医療機器への攻撃が急増!病院のサイバーセキュリティを強化する5つのステップ
デジタルトランスフォーメーションより

サイバーセキュリティリスクが世界的に高まる中、病院などの医療機関がサイバー攻撃の対象となるケースが増えている。特にインターネットに接続するIoT医療機器へのサイバー攻撃が世界的に増加している。
病院のサイバーセキュリティを強化するためにセキュリティ担当者は何をすべきか、5つのステップを紹介する。
高まる病院のサイバーセキュリティリスク
病院などの医療機関に対するサイバー攻撃が増加している。2015年頃よりMEDJACKと呼ばれる病院に対する一連のサイバー攻撃が増加し始めた。
ある調査によると、調査時から2年以内の過去に情報漏洩を経験した病院は全体の90%に達し、その原因の半分はサイバー攻撃によるものだったという。

一般的にウィルスソフトなどが利用されるパソコンと違い、病院で使われているIoT医療機器の多くには十分なセキュリティ対策が施されていない。病院のサイバーセキュリティを確保するため、担当者は何をすべきなのか。5つのポイントにまとめた。

病院のサイバーセキュリティを強化する5つのステップ

1. 何をセキュリティ対策の対象とするかを明確にする
例えば、ブロックチェーンを導入するのであれば、まずはポリシーを明確にする。
生体認証システム、IoT医療機器の統合などについても同様だ。少なくとも病院内ネットワークに接続しているすべての医療機器のステータスを把握する事が最低限必要である。また、病院内で扱われているデータの種類を把握し、取り扱いの優先順位を付ける事も重要だ。
その上で、どのセグメント、医療機器、データのセキュリティを確保するのか決定する必要があるだろう。

2. IDとモバイルデバイスの管理
誰がネットワークのどの部分にアクセスできるかを把握する事も重要だ。
退職したスタッフのIDをそのままにしている病院は少なくない。ネットワークにおけるアクセス管理を徹底し、不正アクセスを未然に防ぐ事が必要だ。モバイルデバイスによるアクセスを認めている場合も同様である。
人事異動や退職などのイベントに合わせ、ID管理を常にアップデートする必要がある。

3. テストの重要性
想定されるサイバー攻撃を特定し、実際に外部から攻撃して脆弱性などを検証するペネトレーションテストが注目されている。
病院のような医療機関こそペネトレーションテストを行うべきであろう。ある病院のCISOは、定期的なペネトレーションテストの実施が病院のサイバーセキュリティ確保に効果的だと証言している。
サイバーセキュリティの新たな脅威は日々生まれており、いたちごっこが続いているからだ。

4. 驚異の検知・モニタリング
サイバー攻撃などの脅威を検知するモニタリングシステムを導入する事も重要だ。
イスラエルのベンチャー企業メディゲイトは、病院内のネットワークに接続しているすべてのIoT医療機器の稼働状況・通信状況を全体像として把握し、外部からの脅威を監視するソルーションを提供している。
そのようなソリューションを導入する事で、外部からのサイバー攻撃などを検知し、仮に被害があった場合も範囲を最小限にする事ができる。
「攻撃を受けた場合のカギは、緊急医療だ」と、前述のCISOもコメントしている。

5. スタッフへのトレーニング
医療機関のサイバーセキュリティを確保する上で、もっとも脆弱な構成要素は人間かもしれない。
医療機器の操作ミス、ソフトウェアの未更新、ID情報流出、意図的な情報漏洩等々、サイバーセキュリティリスクの多くが人間由来の原因から生じている。
サイバーセキュリティ確保のための基礎的な知識を植え付けると共に、ネットワークのセグメントごとのセキュリティの重要性に合わせた個別のトレーニングを行う事も必要だろう。
特に、ミッションクリティカルな領域でのデバイスやデータの取り扱いやセキュリティ対策などについては、チーム全体で情報とスキルを共有する必要がある。
何よりも「脅威は現実のものである」という認識を共有し、危機意識を相応に高めておく事が重要だろう。

今後さらに求められる病院のサイバーセキュリティ対策
病院などの医療機関が今後、さらなるサイバーセキュリティ対策が求められていく事は確実だ。
なぜなら、今後開発される多くの医療機器がIoT化し、インターネットに接続する可能性が高いからだ。IoTは医療の世界でのトレンドであり、病院のオペレーションも大きく変えつつある。
また、多くのIoT医療機器は個別に開発されるため、共通のOSや通信プロトコルを持っていない。
病院内の何百何千という医療機器が「言語の壁」に直面しており、病院のネットワークは、まるでヨーロッパの国々のように、セグメントごとで違う言語で会話している。

そのような特殊な環境にある病院は、今後ますますハッカー集団の攻撃対象になるだろう。
2017年5月に発生したランサムウェア「ワナクライ」の世界的な脅威は、イギリスの公立病院内で使われていたサポート終了後のOSを搭載したパソコンの脆弱性を突かれて始まった。
病気や怪我を治す病院が、サイバー空間での脅威の突端となったのは皮肉というほかないが、サイバー対策をしていませんでしたで済まされる事ではないだろう。

病院のサイバーセキュリティ担当者には、サイバー空間において病院がいかに脆弱な立場に置かれているかを認識し、サイバーセキュリティ確保を確実に行っていただきたいと願う次第である。

過去にこのブログでも何度も申し上げているように、
医療情報システムのみならず、
医療機器のIot化やネットワークへの接続使用が増えてるからね

サイバーセキュリティ対策は、
医療機器保守管理や電波管理と並行して、
今後、臨床工学技士の活躍の場になると思うよ

医療機器(関連システム)での
ペネトレーションテスト(侵入テスト)を
誰でも簡便にできなるなやり方が確立できないか
現在、模索中...

お前にそんな知識があるのか!って?

あるわけないっしょ!
これから勉強してみるとします(笑)

0 件のコメント:

コメントを投稿