MEDTEC Online

FDA、サイバー攻撃のリスクを医療機器メーカーに警告

FDA、サイバー攻撃のリスクを医療機器メーカーに警告

医療機器メーカーに対し「サイバー攻撃から自社製品を強化せよ」と通告した米食品医薬品局(FDA)。ついこの6月のことだが、エドワード・スノーデンによる国家安全保障局 (NSA) の秘密漏洩をきっかけにサイバースペースにおける警戒は頂点に達しており、FDAのタイムリーな指針を劇的に演出することになった。

By: Jim Dickinson

エリック・シュミット (Eric Schmidt) 氏とジャレッド・コーエン (Jared Cohen) 氏は共著新しいデジタル時代の中で次のように予測している。

​この新しいデジタル時代、心臓ペースメーカー、除細動器、病院用生命維持装置やそのシステムなど、これまでサイバー攻撃とはまったく無縁だった製品がこの手の攻撃ターゲットとなる日がじきにやって来て、単独のハッカーやサイバー テロリストの餌食になる。

実際には、両氏が指摘したような医療機器に絡む事件はまだ起きておらず、こうしたリスクに対する業界の反応も当初はいまいち鈍いものであったものの、FDA の業界に対する“安全通信”はすでにそれが現実に危険であることを予見しているものとなっている。

これは、ワシントンがサイバー リスク曲線に先んじて対策を練らなければならないという、政府全体の懸念の高まりを反映したものとも言える。どんなに注意しても注意し過ぎるということはないからだ。

FDA は、医療機器へのマルウェアの侵入、医療機器や病院ネットワークの設定への不正アクセスを通じて生じる可能性のあるサイバー攻撃による障害リスクを軽減するために、適切な安全措置を適所に確実に設けるための措置を講ずるよう、デバイス メーカーや医療施設に要請した。

この警戒態勢が想定しているのは以下のようなリスクである。

  • ネットワーク接続され、設定されている医療機器がマルウェアに感染したり、感染によって機能しなくなる。
  • 病院のコンピュータ、スマートフォン、タブレットにマルウェアが存在し、患者データ、監視システム、患者の体内埋め込みデバイスへのアクセスに無線技術を採用しているモバイル機器がその攻撃ターゲットとなる。
  • 規制外のパスワード配布、無効パスワード、管理・技術・保守担当者など特別な権限のある人のデバイス アクセスを対象にハードコードされたソフトウェア用パスワードに対するリスク。
  • 医療機器やネットワークのセキュリティ ソフトウェアへの適時なアップデートとパッチの提供に対する障害、古い医療機器モデル (レガシー デバイス) における関連脆弱性への対処の失敗。
  • テキスト形式、認証なし、ハードコードされたパスワード、サービス マニュアル中の文書化されたサービス アカウント、貧弱なコーディング / SQL インジェクションなど、デバイスまたはネットワークへの不正アクセスを防止するために設計された市販のソフトウェアに存在するセキュリティ上の脆弱性。

これらの警戒の中で特に明示的なものはメーカーに対するアドバイスで、「信頼できるユーザーにのみデバイスへの無許可アクセスを制限し、特に生命維持用デバイスや病院のネットワークに接続可能なデバイスへのアクセスに対して措置を講ずる」よう要請している。

​FDA はさらに、セキュリティ コントロールを適切なものに変えるようにも示唆している。

セキュリティ コントロールには、たとえばユーザーのユーザー ID とパスワード、スマートカード、バイオメトリクス (生体認証) による認証を採用することができる。

これらのセキュリティ コントロールなら、「ハードコードされたパスワードを回避し、技術的デバイス アクセスに使用するパスワード、物理ロック、カードリーダー、保護装置に対するパブリック アクセスを制限することにより、パスワード保護を強化する」という形を取ることができる。

企業は、利己的な使用から個々のコンポーネントを保護し、デバイスの使用環境に適した能動的なセキュリティ保護のための戦略を開発する必要がある。

FDA は、当局は通常ただサイバーセキュリティを強化するだけのためのソフトウェアの変更を審査したり承認したりすることに必要性を感じているのではないと強調しており、「ルーチンのタイムリーな展開、有効なセキュリティ パッチ、ソフトウェアやファームウェアのアップデートを認証コードによるものだけに制限する方法を含めた戦略が必要だ」としている。

FDA は、たとえセキュリティが危険にさらされた場合でも“フェイルセーフ モード”が働き、セキュリティ侵害発生後にはその保持と回復のための手段を提供できるといった重要機能をデバイスが維持するための設計手法を採用するよう企業に求めている。

政府全体の懸念の高まりを反映して、FDA の警告は次のように書かれている。「サイバーセキュリティ関連の事件が発生する可能性はますます増大しており、メーカーは老朽化した工程や効率的な復元・復旧に取り組むための事件対応計画を検討する必要がある」。

一方、AdvaMed社の技術および規制問題担当シニア エグゼクティブ バイス プレジデント、Janet Trunzo 氏はこの警告に応えて、患者に対する害は今までのところまだ発生してはいないが、FDAの要求には注意を払うべきだということを業界は理解している、という控えめな声明を発表した。

Trunzo 氏は次のようにも述べた。「あらゆるところに偏在しているデジタル技術は患者に大きなメリットを提供しており、そうしたメリットと比較した場合、悪意のあるサイバー攻撃によるリスクは低いと考えられる。 またメーカーは、これらのデバイスのセキュリティを向上させるための必要性も認識している」。

著者:

James G. Dickinsonは弊誌姉妹誌MD+DIのコラムニスト。1975年からFDAに関するニュースを取材・分析をおこなっており、現在は、FDAWebview の統轄編集者・出版者。


(注)来る2013年9月27日に サンディエゴで開催されるMEDeviceでInGuardians社のシニアセキュリティアナリストJay Radcliffe氏がによるWhat are the Real Risks of Hacking? 「ハッカーによる真のリスクとは何か?」という講演が予定されています。ご興味のある方は是非、聴講なさって下さい。

カテゴリー: