遠隔診療なんか、すでに診療報酬に収載され、
本格的に運用が始まってしまっているけど、
事前にどれほどサイバーリスクの検証が行われたんだろうか...?
恐らくシステムを導入したメーカーと施設だけの、
クローズドな中でしか話し合われていないだろうな
それが表に出てくるのは、
あたりまえのように広く使われるようになるか、
何か事象が起きてしまってから...(苦笑)
リスクの検証なんて、過去の事例から、
こんなものだろうというレベル程度のことしかやってない
何か事が起きたら、得意の「想定外でした」で逃げる
日本特有の文化になりつつあるな(苦笑)
(勝手なオレの想像だけどね:汗)
ズブの素人でも、
インターネット上に存在する医療機器など
IoTデバイスを見つけることができるご時世
(方法は後述)
もっと危機感をもって臨まないとね(苦笑)
医療機器のサイバーリスクと社会的な想像力
デジタル・フォレンジック研究会 より
1.医療機器におけるサイバーリスク
内閣サイバーセキュリティセンター(NISC)は、サイバーリスクから防衛すべき重要インフラに医療を指定した上で、重要システム例の一つに医療情報システムとともに、医療機器を挙げている。
こうしたなか、厚生労働省は2015年4月に「医療機器におけるサイバーセキュリティの確保について」という通知(薬食機参発 0428 第1号/ 薬食安発 0428 第1号)を発出しており、日本でも医療機器についてのサイバーリスクマネジメントの重要性が高まっていることは周知の通りである。
例えば、米国では、2013年6月に食品医薬品局(Food and Drug Administration:FDA)にて医療機器のサイバーリスク管理に関するガイダンス案が発行された後、販売前(pre-market)の医療アプリケーションに関するサイバーセキュリティガイダンス(2014年10月)、医療機器の脆弱性に関する脅威通知(2015年7月)、販売後(post-market)における医療機器のサイバーリスクモニタリング(2016年1月)等、様々な施策が矢継ぎ早に展開され、2016年12月には医療機器のサイバーセキュリティをモニタリングするガイドラインの最終草案が発行され、更なる検討が進められている。
日本においても、上述の厚生労働省通知に加え、米国動向を踏まえた観点より、官庁間で医療機器を対象としたサイバーセキュリティ管理に関するガイダンスの検討が進められており、今後、医療機器におけるサイバーリスクマネジメントは重要な機器品質水準の一つに位置付けられることになることが想定される。
2.今までの枠組みで本当に十分なのか
日本国内の医療機器製造事業者は、現在でもISO14971(JIS T 14971)等に準拠したリスクマネジメントサイクルのなかでサイバーリスクも含めたリスク全般に係る管理を行っている。
しかしながら、サイバーリスクは他のリスクとは異なり、技術環境の変化とともに常に変容する。
現行の枠組みの中でリスクの低減を図れていたとしても、外部技術の変化に伴い当初想定していなかったリスクシナリオの発生を回避することは困難といえるだろう。
このような想定外のリスクシナリオの発生による影響を予め可能なかぎり織り込み、機器の品質水準を維持できるようにするための対策を検討しておくことが、今後の医療機器製造事業者にとってのリスクマネジメントには求められている。
例えば、FDAのサイバーリスク管理に関するガイドラインでは、サイバーリスクの評価結果に基づく機器の安定稼働を担保するための機器製造プロセスが求められている。
このプロセスは情報システム業界ではセキュアシステム開発ライフサイクル(セキュアSDLC)という用語で表現されており、大抵のシステムにおいては当たり前のものとして採用されている。
一方で、医療機器という特殊な製品において、このプロセスを十分に踏まえた製造プロセスを整備している企業は未だ一握りではないだろうか。
しかしながら、サイバー攻撃を行う外部者にとっては、医療情報システムも医療機器も既に同列の攻撃対象として標的となっている点には留意しなければならない。
サイバーリスクの顕在化に伴う医療機器の不具合は国内では製造物責任法の範疇に含まれる事象になる可能性が高い。
現時点で、本法による医療機器に係る法的係争件数は非常にかぎられているが、今後のサイバーリスクの動向によって、医療機器に係る法的論点がどのように変化するかは現時点では不透明と言える。
また、法的な過失が仮にない場合においても、自社の機器が外部攻撃に悪用される脆弱性を有していたため、サイバーリスクが顕在化したことが判明した場合、当今のメディア環境を勘案すると、ネット炎上等、製造事業者にとっては大きな風評被害を被ることは免れないだろう。
3.外部者の攻撃に晒された医療機器。誰が一番の被害者か?
例えば、「SHODAN」という検索サイトがある。
この検索サイトは、インターネットに接続している様々な機器の情報にアクセスできる便利なサイトである。
逆に言えば、無防備にインターネットに接続している機器を検索し、そこから当該機器の脆弱性等を探索することを可能にするものでもある。
この検索サイトを用いて、医療機関のウェブページを対象に検索すると、内部ネットワークへの侵入のヒントになる様々な情報を拾うことができる。
入口対策の甘い医療機関は、こうした脆弱性を悪用され、内部ネットワークに侵入された場合、システム・機器の設定情報が変更されるリスクと隣り合わせである。
一体誰がこうしたリスクを最も引き受けているのか。
言うまでもなく、それは患者である。
4.医療機器に求められる社会的な想像力とは
現在の日本国内における医薬品医療機器等法に基づく医療機器審査の中では、機器のセキュリティは外部者攻撃を想定した、想像力のある観点からの深い検討・対応は求められないかもしれない。
あるいは、サイバーリスクを想定した観点からの対応はプロダクトとしてのコスト面を考慮した対応要否を検討することが企業(あるいは導入先の医療機関等)にとって経済合理性に適っているといえるかもしれない。
しかしながら、今後、医療機器のセキュリティとは、これまでの枠組みを拡張したうえで、患者という最大のステークホルダーを保護する目的で検討しなければならない。
何故なら、その弱みを標的とした攻撃者が現れた場合、その被害は本来医療機器によって保護すべき患者に及ぶのである。
想像して頂きたい。
その患者が貴方自身、あるいは貴方が大事に思う人であった場合、「規制が求める枠組みには含まれていなかったので、特に対応は行っていない」といった、病院あるいは機器製造業者による弁明を納得感を持って「ハイ分かりました」と受け止めることはできるだろうか。
医療機器のサイバーリスクに対する日本の法制度上の制約は、未だ緩やかかもしれない。
しかし、患者(あるいは、自分や自分が大事に思う人たち)を保護するという目的に照らし、想像力をもって医療機器の<いま>を真摯に考えることは、色々な意味で重要となっている。
このような意味で、日本における医療機器の<いま>は、個人を超えた、<社会的な想像力>に委ねなければならない局面にまで来ていると言えるのではないだろうか。
我々ユーザは、導入決定前の選択の段階から、
最悪のリスクを想像した上で、
知識と知恵を絞り出しあって(メーカーに任せっきりにしないで)、
医療機器を守るため、患者を守るための
最良で最強のシステム構築を考えていかねばならんよね
それと、医療機器のネットワーク化は
クローズドネットワーク(院内LAN)に接続しているし、
遠隔保守(リモートメンテナンス)などの外部通信も
閉域ネットワーク(VPNなど)で行っているからと
安心するなかれ
ハッカーじゃない、ズブの素人でも
こんな↓ものを使ったら、
インターネット上にある医療機器など
IoTデバイスを容易に探し出し
ハッキングのヒントとなる情報を得ることができる
上記記事中でも紹介されていた...
Shodan
Web サーバだけでなく
インターネットに接続している
様々なコンピュータを対象としている
検索エンジン...
医療機器やIoTデバイスもコンピュータだからな(汗)
Web サーバのコンテンツを検索するのではなく、
FTP サーバ、メールサーバ、ルータ、スイッチなど
機器のバナー情報を検索できるというシロモノ
グローバルIPアドレスやmacアドレス、
ホスト名やOS、国などをキーワードに検索できる
うちの透析通信システムも引っかかるかもな
早速、試してみよっと(笑)
本格的に運用が始まってしまっているけど、
事前にどれほどサイバーリスクの検証が行われたんだろうか...?
恐らくシステムを導入したメーカーと施設だけの、
クローズドな中でしか話し合われていないだろうな
それが表に出てくるのは、
あたりまえのように広く使われるようになるか、
何か事象が起きてしまってから...(苦笑)
リスクの検証なんて、過去の事例から、
こんなものだろうというレベル程度のことしかやってない
何か事が起きたら、得意の「想定外でした」で逃げる
日本特有の文化になりつつあるな(苦笑)
(勝手なオレの想像だけどね:汗)
ズブの素人でも、
インターネット上に存在する医療機器など
IoTデバイスを見つけることができるご時世
(方法は後述)
もっと危機感をもって臨まないとね(苦笑)
医療機器のサイバーリスクと社会的な想像力
デジタル・フォレンジック研究会 より
1.医療機器におけるサイバーリスク
内閣サイバーセキュリティセンター(NISC)は、サイバーリスクから防衛すべき重要インフラに医療を指定した上で、重要システム例の一つに医療情報システムとともに、医療機器を挙げている。
こうしたなか、厚生労働省は2015年4月に「医療機器におけるサイバーセキュリティの確保について」という通知(薬食機参発 0428 第1号/ 薬食安発 0428 第1号)を発出しており、日本でも医療機器についてのサイバーリスクマネジメントの重要性が高まっていることは周知の通りである。
例えば、米国では、2013年6月に食品医薬品局(Food and Drug Administration:FDA)にて医療機器のサイバーリスク管理に関するガイダンス案が発行された後、販売前(pre-market)の医療アプリケーションに関するサイバーセキュリティガイダンス(2014年10月)、医療機器の脆弱性に関する脅威通知(2015年7月)、販売後(post-market)における医療機器のサイバーリスクモニタリング(2016年1月)等、様々な施策が矢継ぎ早に展開され、2016年12月には医療機器のサイバーセキュリティをモニタリングするガイドラインの最終草案が発行され、更なる検討が進められている。
日本においても、上述の厚生労働省通知に加え、米国動向を踏まえた観点より、官庁間で医療機器を対象としたサイバーセキュリティ管理に関するガイダンスの検討が進められており、今後、医療機器におけるサイバーリスクマネジメントは重要な機器品質水準の一つに位置付けられることになることが想定される。
2.今までの枠組みで本当に十分なのか
日本国内の医療機器製造事業者は、現在でもISO14971(JIS T 14971)等に準拠したリスクマネジメントサイクルのなかでサイバーリスクも含めたリスク全般に係る管理を行っている。
しかしながら、サイバーリスクは他のリスクとは異なり、技術環境の変化とともに常に変容する。
現行の枠組みの中でリスクの低減を図れていたとしても、外部技術の変化に伴い当初想定していなかったリスクシナリオの発生を回避することは困難といえるだろう。
このような想定外のリスクシナリオの発生による影響を予め可能なかぎり織り込み、機器の品質水準を維持できるようにするための対策を検討しておくことが、今後の医療機器製造事業者にとってのリスクマネジメントには求められている。
例えば、FDAのサイバーリスク管理に関するガイドラインでは、サイバーリスクの評価結果に基づく機器の安定稼働を担保するための機器製造プロセスが求められている。
このプロセスは情報システム業界ではセキュアシステム開発ライフサイクル(セキュアSDLC)という用語で表現されており、大抵のシステムにおいては当たり前のものとして採用されている。
一方で、医療機器という特殊な製品において、このプロセスを十分に踏まえた製造プロセスを整備している企業は未だ一握りではないだろうか。
しかしながら、サイバー攻撃を行う外部者にとっては、医療情報システムも医療機器も既に同列の攻撃対象として標的となっている点には留意しなければならない。
サイバーリスクの顕在化に伴う医療機器の不具合は国内では製造物責任法の範疇に含まれる事象になる可能性が高い。
現時点で、本法による医療機器に係る法的係争件数は非常にかぎられているが、今後のサイバーリスクの動向によって、医療機器に係る法的論点がどのように変化するかは現時点では不透明と言える。
また、法的な過失が仮にない場合においても、自社の機器が外部攻撃に悪用される脆弱性を有していたため、サイバーリスクが顕在化したことが判明した場合、当今のメディア環境を勘案すると、ネット炎上等、製造事業者にとっては大きな風評被害を被ることは免れないだろう。
3.外部者の攻撃に晒された医療機器。誰が一番の被害者か?
例えば、「SHODAN」という検索サイトがある。
この検索サイトは、インターネットに接続している様々な機器の情報にアクセスできる便利なサイトである。
逆に言えば、無防備にインターネットに接続している機器を検索し、そこから当該機器の脆弱性等を探索することを可能にするものでもある。
この検索サイトを用いて、医療機関のウェブページを対象に検索すると、内部ネットワークへの侵入のヒントになる様々な情報を拾うことができる。
入口対策の甘い医療機関は、こうした脆弱性を悪用され、内部ネットワークに侵入された場合、システム・機器の設定情報が変更されるリスクと隣り合わせである。
一体誰がこうしたリスクを最も引き受けているのか。
言うまでもなく、それは患者である。
4.医療機器に求められる社会的な想像力とは
現在の日本国内における医薬品医療機器等法に基づく医療機器審査の中では、機器のセキュリティは外部者攻撃を想定した、想像力のある観点からの深い検討・対応は求められないかもしれない。
あるいは、サイバーリスクを想定した観点からの対応はプロダクトとしてのコスト面を考慮した対応要否を検討することが企業(あるいは導入先の医療機関等)にとって経済合理性に適っているといえるかもしれない。
しかしながら、今後、医療機器のセキュリティとは、これまでの枠組みを拡張したうえで、患者という最大のステークホルダーを保護する目的で検討しなければならない。
何故なら、その弱みを標的とした攻撃者が現れた場合、その被害は本来医療機器によって保護すべき患者に及ぶのである。
想像して頂きたい。
その患者が貴方自身、あるいは貴方が大事に思う人であった場合、「規制が求める枠組みには含まれていなかったので、特に対応は行っていない」といった、病院あるいは機器製造業者による弁明を納得感を持って「ハイ分かりました」と受け止めることはできるだろうか。
医療機器のサイバーリスクに対する日本の法制度上の制約は、未だ緩やかかもしれない。
しかし、患者(あるいは、自分や自分が大事に思う人たち)を保護するという目的に照らし、想像力をもって医療機器の<いま>を真摯に考えることは、色々な意味で重要となっている。
このような意味で、日本における医療機器の<いま>は、個人を超えた、<社会的な想像力>に委ねなければならない局面にまで来ていると言えるのではないだろうか。
我々ユーザは、導入決定前の選択の段階から、
最悪のリスクを想像した上で、
知識と知恵を絞り出しあって(メーカーに任せっきりにしないで)、
医療機器を守るため、患者を守るための
最良で最強のシステム構築を考えていかねばならんよね
それと、医療機器のネットワーク化は
クローズドネットワーク(院内LAN)に接続しているし、
遠隔保守(リモートメンテナンス)などの外部通信も
閉域ネットワーク(VPNなど)で行っているからと
安心するなかれ
ハッカーじゃない、ズブの素人でも
こんな↓ものを使ったら、
インターネット上にある医療機器など
IoTデバイスを容易に探し出し
ハッキングのヒントとなる情報を得ることができる
上記記事中でも紹介されていた...
Shodan
インターネットに接続している
様々なコンピュータを対象としている
検索エンジン...
医療機器やIoTデバイスもコンピュータだからな(汗)
Web サーバのコンテンツを検索するのではなく、
FTP サーバ、メールサーバ、ルータ、スイッチなど
機器のバナー情報を検索できるというシロモノ
グローバルIPアドレスやmacアドレス、
ホスト名やOS、国などをキーワードに検索できる
うちの透析通信システムも引っかかるかもな
早速、試してみよっと(笑)
0 件のコメント:
コメントを投稿