組込み機器、制御システムなどに対して情報セキュリティの重要性が叫ばれる今、医療機器についてもその重要性が高まりつつある。今回は医療機器の情報セキュリティについて考えたい。
医療機器の周辺環境の変化
情報セキュリティ上の脅威が指摘される組込み機器や制御システムの共通事項は、ネットワークへの接続等の利用環境の変化や、汎用OS・プロトコル等の汎用技術の導入であった。これは医療機器に対してもそのまま当てはまる。医療機器でもネットワーク接続や無線LANの利用が進み、OSとしてもWindowsなどが多く利用されるようになっている。医療機器では、以下のように環境の変化を整理することができる。
- 利用環境の変化
- 医療情報システムと医療機器の接続
- 院内LANと外部ネットワークの接続
- クラウドの利用
- 無線LANの院内利用
- 機器の小型化・携帯化
- 汎用技術の導入
- Windows等の汎用OSの利用
- 非専業ベンダの参入
さらに、ヘルスケア機器・サービスの拡大や、それらのサービスと医療との連携が進むにつれ、より一層オープン化が進むことが予想され、セキュリティ上の問題が加速する可能性もある。
米国では医療機器のハッキングデモも
実際に、世界的な医療機器メーカーを多く有する医療機器の先進国米国では、既に多くの重大な指摘がなされ、インシデントも発生している。
2011年、Black Hat にて発表されたインスリンポンプへのハッキングは、多くのメディアで報道された。糖尿病患者の治療に用いるインスリンポンプの脆弱性を突いて侵入し「致死的な攻撃」を仕掛けることができると発表し、医療機器の脆弱性が患者の命に関わる重要事項であることを世に知らしめた。
それ以降も、研究者による心臓ペースメーカーへのハッキングデモや、米国ボストンのBeth Israel Deaconess Medical Centerにおける女性向け胎児モニタ装置の感染など、多くの重大な指摘やインシデントが続いている。
それらの指摘を受け、米国では、被害を受けたIsrael Deaconess Medical Centerや、製品がハッキングデモの対象となったMedtronic社など、情報セキュリティに対して優先事項として取り組む企業も現れつつある。また、昨年にはFDA(アメリカ食品医薬品局)が医療機器のサイバーセキュリティ管理に関するガイドラインを発表し、ICS-CERTが医療機器の脆弱性のアラートを出すなど、政府主導の改革も急速に行われつつある。
しかしながら、現状では医療機器のセキュリティ対策不足はセキュリティ専門家の一致した見解であり、使用者からハッキングについて質問をうけた企業が「仮にできても誰もそんなこと(攻撃)はしない」と答えるなど、セキュリティ意識も含め、まだ改革途上の段階であるといえる。
日本の医療現場の現状
ではそれらの事項は日本でも起こりうるのだろうか。
答えはイエスである。大きなインシデントこそ明らかになっていないものの、日本でも多くのインシデントが院内で発生している。IPAの調査によると、日本の病院でも多くのマルウェア感染事例があり、医療情報システムにUSBメモリ経由などで感染し、さらには医療機器までその影響が及ぶといったインシデントも発生している。また、実際にマルウェア感染しても、医療機器の動作が重くなるといった症状だけの場合も多く、セキュリティの知識不足もあり、気づかずに運用されていることも多いと指摘されている。
継続的な普及啓発が必要
現在、日本の医療従事者や医療機器ベンダのセキュリティ意識は低く、十分に対策が取られていないのが現状である。米国においても推し進められている最中だが、日本ではまだほとんど手がつけられていない状況だ。しかしながら、医療機器でのインシデントは生命に関わることであり、それがたとえわずかなリスクでも十分な対策を行う必要がある。
そのためには、まずは医療従事者向けの普及啓発や情報提供が必要である。忙しい医療従事者にとって、診療報酬にも反映されないセキュリティについて時間を割く時間はなかなかないといったことも考えられるが、オンラインでの講習やコンテンツの配布でもよいだろう。同様に、提供側である医療機器ベンダへの情報提供や、医療機器セキュリティのガイドの作成なども望まれる。米国では、業界団体と米保険・福祉省(HHS)が連携し、オンライン開催で脅威の状況と動向を説明する場を今年の4月から開始させている。こういった地道な取り組みにより、医療従事者・医療機器ベンダの意識や知識をあげていくことが、日本でも必要とされており、継続的に行っていくことが求められている。