最新の医療機器に潜むサイバーリスク

2022年3月25日

最新の医療機器に潜むサイバーリスク

医療ネットワークでは、さまざまなベンダーの多種多様な機器を利用しており、その多くは、セキュリティに関して憂慮すべき問題を抱えています。

リーダーのためのアドバイス

多くの場合、使用機器の目録とその管理システムを整えることは、問題解決の基礎となります。
サードパーティの、特にオープンソースのライブラリに依存していると、ライブラリに脆弱性が発見されたときに多くのデバイスが脆弱になります。
MRIのような大型の医療機器は、技術的にはオフラインかもしれませんが、実際には、機能するために病院のIT機器を必要としています。

HIPAAのような医療データに関する規制、GDPRなどの一般的なデータプライバシー法、米国食品医薬品局などの機関による政府の指針があるため、患者や医療従事者は、医療機器が安全だと考えているかもしれませんが、そうでないことも少なくありません。

「脆弱なネットワークスタックや古いWebサーバーパッケージを使って接続されている医療機器が増え続けていますが、これらの機器に簡単にパッチを適用することはできません。変更を加えると医療用機器としての認定が失われる恐れがあるからです」とDirk Schrader氏は言います。彼は、現在Netwrix社の子会社となっているNew Net Technologies社のセキュリティ調査部門でグローバル・バイスプレジデントを務めています。

脆弱性や攻撃のリスクは高まっています。最近、Forescout Research LabsとMedigate社の調査により、患者モニターなどの医療機器に使用されているソフトウェア (Nucleus TCP/IPスタック) に、リモートコードの実行、サービス拒否、情報漏えいが可能になる13件の新しい脆弱性が見つかりました。研究者たちは、Forescout社のIoTセキュリティ監視ネットワーク内にある約2,233台の医療機器が、この一連の脆弱性によって潜在的に危険にさらされていると推定しています。

リスクが潜んでいる場所

増え続けるセキュリティリスクから機器を保護する新たな取り組みにもかかわらず、医療機器の脆弱性はなくなっていません。

「新たに見つかった脆弱性によって、新型の医療機器にもセキュリティリスクが存在することが明らかになりました。残念なことに、大部分の医療用IoT機器は、いまだに保守に手間がかかるレガシーソフトウェアに依存しているのです」と、Kajeet社の戦略および事業開発部門の責任者であるDominic Marcellino氏は語ります。

レガシーソフトウェアは大きな問題ですが、差し迫っている危険はそれだけではありません。

お勧めの関連記事: 医療データのセキュリティに関する攻防が水面下で進行中

「主な問題は、レガシーソフトウェアが新しいガイドラインに従ってアップグレードされていないこと、体温計やバイタルモニターなどの特定の種類の機器に関する規制があいまいなこと、独自にカスタマイズされたインターフェイスを持つ膨大な数の機器の動作を追跡するのが難しいことにあります」とItransition社の医療業界担当アナリストであるInga Shugalo氏は説明します。

そのほかにも、病院の医療機器の中には明らかな脆弱性が蔓延しています。「特に、使用年数が10年をはるかに上回ることがある放射線科の機器や、COVIDによって必要となった遠隔医療などの新しいテクノロジーに脆弱性が見つかっています」と、医療セキュリティ企業のCyberMDX社で創設者兼社長を務めるAmir Magner氏は指摘します。「使われているサードパーティのリモート接続ソリューションが適切に保護されていない場合、攻撃者の興味を引きやすく、攻撃の影響を受けやすいシステムになってしまう恐れがあります」

Shugalo氏によれば、「機器の大半が脆弱」なので、脆弱な医療機器のリストは長いものになっており、インスリンポンプ、スマートペン、心臓インプラント、温度感知装置といった一般的な機器も含まれています。

特定のテクノロジーよりも、リスクの見落としが問題になる場合もあります。

「理論的には、このような機器はオフラインであり、MRIや記録用タブレットなどもランサムウェア攻撃の対象にはならないはずですが、標準的なITランサムウェア攻撃では、機器自体に触れなくても病院の重要な機能を停止させる恐れがあります」と、Sean Tufts氏は言います。彼はNFLのラインバッカーから重要インフラのセキュリティリーダーに転身した人物で、現在はOptiv社のOTおよびIoTビジネスのプラクティスディレクターです。

さらに、犯罪者たちは貴重な患者データを好きなように持ち去っています。「残念ながら、医療用のIoT機器はこうした新たな脅威に対して脆弱なので、医療分野はハッカーにとって価値の高いターゲットになっているのです。他の業界で最悪の結果と言えるのは顧客データの盗難ですが、医療では人命が危険にさらされることをハッカーは知っています」とMagner氏は述べています。

「私たちは、多くの医療機関が確実なセキュリティ制御やベストプラクティスを求めて調達基準を見直しているのを目にしています」
^{MIKE NELSON IOTセキュリティ担当バイスプレジデント、DIGICERT社}

医療機関が形勢を逆転させるには

現状は悲惨ですが、悪いニュースばかりではありません。

「医療用IoTの状況は改善されてきていますが、やるべきことはまだたくさんあります。多くの医療機関は必要な対策を講じていますが、全国的に見ると取り組みに大きな差があります」とマウント・サイナイ・ヘルスシステムのサイバーセキュリティ担当シニアディレクターであるTom Mustac氏は説明します。資金力のある大規模な医療機関はうまくやっていますが、小規模な機関は懸命に取り組んでいる最中です。「このような違いは、病院の業務の他の面と同じで、その規模に左右されます」

さらに、医療機関は、自分たちに有利な方向に流れを変えるために、いくつかの積極的な取り組みを進めることができます。おそらく最も重要で大きなステップは、組み込みのセキュリティ機能やその不足について製造元に責任を負わせることです。

お勧めの関連記事: クラウドによる課題の解決: EHR as a serviceが未来の医療を推進

「医療機関では、その取り組みは調達の段階から始まります。購入する機器のセキュリティの脆弱性を十分に把握することが重要です。私たちは、多くの医療機関が確実なセキュリティ制御やベストプラクティスを求めて調達基準を見直しているのを目にしています」と、DigiCert社のIoTセキュリティ担当バイスプレジデントであるMike Nelson氏は言います。

「医療機関の購買力でセキュリティを高めようとする取り組みは、業界全体のセキュリティを向上させるための優れた方法です。メイヨークリニックをはじめとする大規模な医療機関では、この取り組みを行っています」とNelson氏は付け加えます。

また、脅威の中核となるシステムを保護することで、大きな違いが生まれます。

「ここで考えるべき主な脅威は、サイバー犯罪者が機器のクラウドへの接続ポイントを悪用し、IoTシステムの「頭脳」に到達して機密の医療データを掌握できるということです」と、Alena Nikuliak氏は説明します。彼女はITコンサルティングおよびソフトウェア開発会社であるScienceSoft社のシニアビジネスアナリスト兼ヘルスケアITコンサルタントです。

「医療用IoTシステムをHIPAA準拠のクラウドでホスティングすることも、セキュリティを高める方法の1つです」とNikuliak氏は補足し、ID認証やアクセス管理、ネットワークやアプリケーションのファイアウォールなどの防御策により、医療情報の安全な保存、処理、分析、共有を実現できると指摘します。

お勧めの関連記事: ヘルスケアITがパンデミックから得た上位6つの教訓

一方で、政府機関は、いまだにセキュリティの問題への対処に苦労しています。2020年末には、医療用のIoT機器の規制を強化し、米国政府が購入する際に満たすべきセキュリティ基準を施行するための新しい法律が可決されました。

しかし、この法律も、患者の安全を守りながら医療機器を保護する際に問題になるかもしれません。Nextgov社のレポートによれば、米国立標準技術研究所 (NIST) のIoTサイバーセキュリティプログラムを監督するKaterina Megas氏は、ある説明会で「法的義務を満たすことを目的としたNISTの取り組みに対し、定められた基準を適用できない特定の機器が除外されることへの懸念や、NISTのアプローチによって連邦政府の要件が統一されなくなる懸念がある」と述べています。

現時点では、医療機関はさまざまな防御策を組み合わせて使用しています。

「今のところ、医療機関は、IoT機器のセキュリティの隙間を埋めることができるソリューションを利用しています。これには、デバイスの識別と監視の自動化、ネットワークの分割、規制に準拠するソフトウェアへのアップグレード、機器の安全な廃棄などがあります」とShugalo氏は説明します。「医療用IoT機器のセキュリティ強化を支援するために、この市場セグメントは来年中に急速に成長すると考えられます」

^{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカードエンタープライズの見解を反映しているわけではありません。}

Pam Baker

フリーの寄稿者、34件の記事

Pam Baker氏は、InformationWeek、Institutional Investor、CIO.com、Network World、Computerworld、ITworld、LinuxWorldなどのテクノロジー、ビジネス、および金融関係の主要な出版物で数百の記事を執筆してきました。また、テクノロジーの分析研究に関するいくつかの著書、『Data Divination: Big Data Strategies (データに関する予言: ビッグデータ戦略)』を含む8冊の本、そして賞を獲得した製紙業界のドキュメンタリー作品も執筆しています。同氏は、National Press Club、Society of Professional Journalists、およびInternet Press Guildの会員です。