医療機器に迫るセキュリティーの脅威
IoT化で医療機器のハッキングのデモが相次ぐ
FDAがセキュリティー管理のガイドラインを公表
日経デジタルヘルスより
医療機器に迫るセキュリティーの脅威
ネットワークに繋がる医療機器が増え、セキュリティーを考慮しなければならなくなっている。医療機器はセンシティブな個人情報を扱うとともに、命にも直結する。実際に海外の展示会では、医療機器のハッキングのデモが実施されている。FDA(米国食品医薬品局)やHealth Canada(カナダ保健省)もこうした状況を危惧し、対策に乗り出した。医療機器のセキュリティーの脅威にはどのようなものが考えられ、どのような対策が有効なのか。実例を挙げながら解説する。
医療現場でIoT化が進んでいる。今やネットワークに接続された医療機器は各種診断装置のほか、MRI(磁気共鳴画像法)装置やCATスキャン(コンピュータx線体軸断層撮影法)装置といった検査機器のデータを管理する画像保管通信システム(PACS)、実験装置、輸液システムなど多数挙げられる。患者用ベッドでさえ、ネットワークに接続される時代である。
医療機器メーカーは、病院全体でデータを監視および収集するためのタブレット端末などを提供しており、収集したデータをアプリケーションで可視化して医療業務の効率化に役立てようとしている。
近年最も急速に成長している接続型医療機器としては、心臓や神経系の疾患や、糖尿病向けのものがある。例えば糖尿病のための血糖値モニターやインスリンポンプだ。前者は皮下センサーを通じ、リアルタイムで血糖値レベルを監視する。後者は持続的にインスリンを注入する。今後両者を連携することで、より適切な血糖値の管理ができると期待されている。
患者向け医療機器は患者が着用するか、患者の皮下など体内に埋め込む形で使われる。通常はいったんBluetooth経由でスマートフォンやスマートウオッチに送信され、その後はWi-Fiやモバイル通信経由でクラウドへ送信される。
医療機器はハッキングできる
言うまでもなく、医療機器は患者の生命がかかっているため、高い安全性が求められる。同時に生命に関わる最も重要な個人情報なので、その扱いについても確かなセキュリティーが求められる。
しかし、これらのデバイスに対してハッキングの可能性が指摘され、デモも行われている。例えば、脈を安定させるために電気的な刺激を与えるペースメーカーや植込み型除細動器(ICD)の例がある。ICDは致死性の心室細動が起きた時、体内から電気ショックを与えることで突然死を回避するのにも有効な機器だ。
過去にメルボルンで行われた「ブレークポイントセキュリティカンファレンス」でホワイトハッカーとして著名なバーナビー・ジャック氏は、攻撃者が特定のICD機器に対して電気ショックを作動できることを実演してみせた。
また、先述したインスリンポンプについても、過去の「ブラックハット・カンファレンス」でコンピュータセキュリティ研究者のジェローム・ラドクリフ氏が自身で利用している機器の乗っ取りに成功したことを公表した。この発表で、特定の機種で致死量のインスリンを放出させることが可能であることが証明された。
各国当局によるガイドラインを策定
医療機器のハッキングの報告を受けて各国当局も動き出した。2018年10月には、アメリカ食品医薬品局(FDA)は市販前医療機器のサイバーセキュリティー管理についてのガイドライン(改訂草案)を公表した。カナダ保健省も同様の文書を公表している。これらは医療機器製造業者に向けて、市販前に製品がサイバーセキュリティーに関して安全であることを保証するための推奨事項を示している。
例えばカナダ保健省のガイドラインでは、許可されていない第三者が機器の初期設定を改ざんすることを防ぐために製品のセキュリティーテストを市販前の検証プロセスに組み込むことを推奨している。ほかにも安全な機器設計、機器固有のリスク管理、アクセス認証と検証、新たなリスクの監視と対応計画なども推奨している。
日本では厚生労働省より「医療機器のサイバーセキュリティーの確保に関するガイダンスについて」や「医療情報システムの安全管理に関するガイドライン」など各種ガイドラインが発表されている。また、医療機器および医療情報のセキュリティーに関連するガイドラインは厚生労働省のほか総務省や経済産業省からも出ており、海外の動向を見つつ、段階的に統合されていくものと見られる。
IoT機器としての医療機器のセキュリティー対策
日本では2019年に入って、総務省が省令によりIoT機器のセキュリティーの義務化を2020年までに行うことを発表した。検討されている規制では、すべてのIoT機器にアイデンティティーを持たせること、機器への不正アクセスを防止すること、そして常にソフトウェアを最新に更新できる機能を搭載することが義務付けられるようだ。これらの規制への対応は、すでに世の中に普及している技術を応用するのが有効になる。その技術の1つとなるものがPKI(Public Key Infrastructure:公開鍵暗号基盤)である。
PKIはこれまでも様々な業界で使われており、過去数十年にわたり企業にとって現実的なコストで利用できることから基本の技術は変更されずに利用されてきた。IoT機器への不正アクセスを防ぐのに、IDとパスワードに頼るのではなく電子証明書を利用することで、銀行システムなどでアクセス管理に利用されてきたような「クライアント証明書」によるアクセス認証を行うことができる。
また電子証明書の一種である「コードサイニング証明書」によりプログラムの改変や偽のプログラムを検知する仕組みでハッカーによる更新機能の悪用を防ぐことができる。「SSL/TLSサーバ証明書」では、プログラムの通信内容を暗号化して通信のプライバシーと改ざん検知を行うことができる。
PKIを用いたソリューションは、すでに自動車や医療をはじめ、IoTのセキュリティーで利用が広がっている。デジサートはFDAに対し無線薬物注入ポンプや無線薬物注入サーバのガイドライン策定に関与してきた。その経験も踏まえながら、今後IoT機器としての医療機器のセキュリティーの観点で、どのような点について考慮すべきか次回から解説していく。
医療機器のハッキング、簡単にできちゃうよ!?
大きな声では言えないんだけど、
以下の記事以降も、いろいろ試してみたけど、
素人でも簡単にできちゃうことがわかった(汗)
やりすぎたからなのか、
問題解決に向けて一方的に無理やり協力を押し付けたから
(偉そうに上から目線で協力してやるよと言ったから?)か、
メーカーからは、検証結果の報告もなく
全く音沙汰なくなったけどね(怒)
上記記事で登場しているガイドライン達は、
製造業(メーカー)向けのものばかり...
医療現場で実際に使用(保守管理)している
医療者向けのガイドラインは存在していないんだよな(苦笑)
日臨工のサイバーセキュリティ検討委員会では、
現場レベルのガイドライン作成を進めているんだけど、
該当機器メーカーと医療機器団体に、
ご協力いただきたいところなんだけど、
いろいろとしがらみがあって、何だか大変そう(汗)
最終的には、
医療機器安全管理委員(保守管理責任者)の
管理責任の範疇に入れて、
サイバーセキュリティ対策も含めた
医療機器保守管理体制の確立を目指しているものと思われる...たぶんね(汗)
(あくまでもオレの個人的な見解ね:汗)
サイバーセキュリティ対策のための知識習得も含めた
養成課程のカリキュラム見直しも検討されてる模様
我々既卒者も、
コンピュータセキュリティに関するお勉強しといた方が良いと思うよ(苦笑)
オススメは、これ↓
「情報セキュリティマネジメント試験」
情報機器使用者向けの資格試験
ICT(情報技術)の専門的な知識じゃなく、
ICTを使用するにあたってのマネジメントがメインなので、
資格取得を目指さなくても、勉強するだけでも役立つこと満載(笑)
(^^)/ゼヒオタメシアレ~
IoT化で医療機器のハッキングのデモが相次ぐ
FDAがセキュリティー管理のガイドラインを公表
日経デジタルヘルスより
医療機器に迫るセキュリティーの脅威
ネットワークに繋がる医療機器が増え、セキュリティーを考慮しなければならなくなっている。医療機器はセンシティブな個人情報を扱うとともに、命にも直結する。実際に海外の展示会では、医療機器のハッキングのデモが実施されている。FDA(米国食品医薬品局)やHealth Canada(カナダ保健省)もこうした状況を危惧し、対策に乗り出した。医療機器のセキュリティーの脅威にはどのようなものが考えられ、どのような対策が有効なのか。実例を挙げながら解説する。
医療現場でIoT化が進んでいる。今やネットワークに接続された医療機器は各種診断装置のほか、MRI(磁気共鳴画像法)装置やCATスキャン(コンピュータx線体軸断層撮影法)装置といった検査機器のデータを管理する画像保管通信システム(PACS)、実験装置、輸液システムなど多数挙げられる。患者用ベッドでさえ、ネットワークに接続される時代である。
(出所:PIXTA) |
近年最も急速に成長している接続型医療機器としては、心臓や神経系の疾患や、糖尿病向けのものがある。例えば糖尿病のための血糖値モニターやインスリンポンプだ。前者は皮下センサーを通じ、リアルタイムで血糖値レベルを監視する。後者は持続的にインスリンを注入する。今後両者を連携することで、より適切な血糖値の管理ができると期待されている。
患者向け医療機器は患者が着用するか、患者の皮下など体内に埋め込む形で使われる。通常はいったんBluetooth経由でスマートフォンやスマートウオッチに送信され、その後はWi-Fiやモバイル通信経由でクラウドへ送信される。
医療機器はハッキングできる
言うまでもなく、医療機器は患者の生命がかかっているため、高い安全性が求められる。同時に生命に関わる最も重要な個人情報なので、その扱いについても確かなセキュリティーが求められる。
しかし、これらのデバイスに対してハッキングの可能性が指摘され、デモも行われている。例えば、脈を安定させるために電気的な刺激を与えるペースメーカーや植込み型除細動器(ICD)の例がある。ICDは致死性の心室細動が起きた時、体内から電気ショックを与えることで突然死を回避するのにも有効な機器だ。
過去にメルボルンで行われた「ブレークポイントセキュリティカンファレンス」でホワイトハッカーとして著名なバーナビー・ジャック氏は、攻撃者が特定のICD機器に対して電気ショックを作動できることを実演してみせた。
また、先述したインスリンポンプについても、過去の「ブラックハット・カンファレンス」でコンピュータセキュリティ研究者のジェローム・ラドクリフ氏が自身で利用している機器の乗っ取りに成功したことを公表した。この発表で、特定の機種で致死量のインスリンを放出させることが可能であることが証明された。
各国当局によるガイドラインを策定
医療機器のハッキングの報告を受けて各国当局も動き出した。2018年10月には、アメリカ食品医薬品局(FDA)は市販前医療機器のサイバーセキュリティー管理についてのガイドライン(改訂草案)を公表した。カナダ保健省も同様の文書を公表している。これらは医療機器製造業者に向けて、市販前に製品がサイバーセキュリティーに関して安全であることを保証するための推奨事項を示している。
例えばカナダ保健省のガイドラインでは、許可されていない第三者が機器の初期設定を改ざんすることを防ぐために製品のセキュリティーテストを市販前の検証プロセスに組み込むことを推奨している。ほかにも安全な機器設計、機器固有のリスク管理、アクセス認証と検証、新たなリスクの監視と対応計画なども推奨している。
日本では厚生労働省より「医療機器のサイバーセキュリティーの確保に関するガイダンスについて」や「医療情報システムの安全管理に関するガイドライン」など各種ガイドラインが発表されている。また、医療機器および医療情報のセキュリティーに関連するガイドラインは厚生労働省のほか総務省や経済産業省からも出ており、海外の動向を見つつ、段階的に統合されていくものと見られる。
IoT機器としての医療機器のセキュリティー対策
日本では2019年に入って、総務省が省令によりIoT機器のセキュリティーの義務化を2020年までに行うことを発表した。検討されている規制では、すべてのIoT機器にアイデンティティーを持たせること、機器への不正アクセスを防止すること、そして常にソフトウェアを最新に更新できる機能を搭載することが義務付けられるようだ。これらの規制への対応は、すでに世の中に普及している技術を応用するのが有効になる。その技術の1つとなるものがPKI(Public Key Infrastructure:公開鍵暗号基盤)である。
PKIはこれまでも様々な業界で使われており、過去数十年にわたり企業にとって現実的なコストで利用できることから基本の技術は変更されずに利用されてきた。IoT機器への不正アクセスを防ぐのに、IDとパスワードに頼るのではなく電子証明書を利用することで、銀行システムなどでアクセス管理に利用されてきたような「クライアント証明書」によるアクセス認証を行うことができる。
また電子証明書の一種である「コードサイニング証明書」によりプログラムの改変や偽のプログラムを検知する仕組みでハッカーによる更新機能の悪用を防ぐことができる。「SSL/TLSサーバ証明書」では、プログラムの通信内容を暗号化して通信のプライバシーと改ざん検知を行うことができる。
PKIを用いたソリューションは、すでに自動車や医療をはじめ、IoTのセキュリティーで利用が広がっている。デジサートはFDAに対し無線薬物注入ポンプや無線薬物注入サーバのガイドライン策定に関与してきた。その経験も踏まえながら、今後IoT機器としての医療機器のセキュリティーの観点で、どのような点について考慮すべきか次回から解説していく。
医療機器のハッキング、簡単にできちゃうよ!?
大きな声では言えないんだけど、
以下の記事以降も、いろいろ試してみたけど、
素人でも簡単にできちゃうことがわかった(汗)
やりすぎたからなのか、
問題解決に向けて一方的に無理やり協力を押し付けたから
(偉そうに上から目線で協力してやるよと言ったから?)か、
メーカーからは、検証結果の報告もなく
全く音沙汰なくなったけどね(怒)
上記記事で登場しているガイドライン達は、
製造業(メーカー)向けのものばかり...
医療現場で実際に使用(保守管理)している
医療者向けのガイドラインは存在していないんだよな(苦笑)
日臨工のサイバーセキュリティ検討委員会では、
現場レベルのガイドライン作成を進めているんだけど、
該当機器メーカーと医療機器団体に、
ご協力いただきたいところなんだけど、
いろいろとしがらみがあって、何だか大変そう(汗)
最終的には、
医療機器安全管理委員(保守管理責任者)の
管理責任の範疇に入れて、
サイバーセキュリティ対策も含めた
医療機器保守管理体制の確立を目指しているものと思われる...たぶんね(汗)
(あくまでもオレの個人的な見解ね:汗)
サイバーセキュリティ対策のための知識習得も含めた
養成課程のカリキュラム見直しも検討されてる模様
我々既卒者も、
コンピュータセキュリティに関するお勉強しといた方が良いと思うよ(苦笑)
オススメは、これ↓
「情報セキュリティマネジメント試験」
情報機器使用者向けの資格試験
ICT(情報技術)の専門的な知識じゃなく、
ICTを使用するにあたってのマネジメントがメインなので、
資格取得を目指さなくても、勉強するだけでも役立つこと満載(笑)
(^^)/ゼヒオタメシアレ~
0 件のコメント:
コメントを投稿