MEDTEC Online

医療機器をハッキングから守る3つのステップ

医療機器をハッキングから守る3つのステップ

Hospiraの輸液システムに対するハッキングの懸念によって、医療機器のサイバーセキュリティへの関心が高まっている。GEヘルスケアのセキュリティエンジニアリングディレクターのSteve Abrahamsonによると、サイバーセキュリティには3つのステップがある。

By: Chris Newmarker

FDAは医療機器のネットワークセキュリティをより重視するようになってきており、私たちメーカーもそうすべきであるとAbrahamsonはいう。研究者のBilly Riosは最近、Hospiraの輸液システムは病院のネットワークを通じて遠隔にアクセスが可能であり、不正ユーザーが薬剤の投与量を変更することができることを確認した。ハッキングの実際の事例が存在しないにもかかわらず、FDAはすでにHospiraが製造・販売を中止したSymbiq輸液システムの使用を停止するよう、安全性勧告を医療機関に伝えた。

「FDAが医療機器の意図された使用の範囲を越えて対応を行った点で、これは非常に大きな変化でした」とAbrahamsonはいう。

クライスラー製の自動車に対するハッキング問題や、米国人事管理局のデータベースのセキュリティ問題といった医療機器分野以外での最近の事件も、医療技術関連の当局に影響を与えている。

「車にハッキングするなんて誰が心配したでしょうか?多くの人が考えもしなかったことがリスクになっています」とAbrahamsonはいう。

そこで彼は、医療機器の設計者がセキュリティを確保するための3つのステップを下記のように提案している。

1.セキュリティリスク管理プロセスを経ること

米国標準技術局の800-53 文書からスタートするのがよい。私たちは製品に含める適切なコントロールを明確化する際に、この文書を特定の製品ごとに若干カスタマイズして利用している。このようなプロセスを他の医療機器メーカーも使用すべきで、それによって医療機器に関連したリスクに対処することができる。このようなプロセスによって、機器のアベイラビリティのレベルや患者の個人情報を内蔵しているかどうかが患者の安全性にとっていかに重要であるかがわかるだろう。

どのような場合でも安全性第一であり、それは個人情報守秘の問題にもまさる。例えば、より重篤な状態では、自動的なログオフ機能はあまり用いるべきではない。救急医療で用いられる機器については、医療側が必要に応じて迅速に使用できるように緊急使用の機能を持たせるべきである。

2.個人情報への配慮

名前や社会保障番号などの直接的な個人識別子(identifier)だけでなく、年齢、性別、郵便番号といった間接的な情報についても配慮することが重要である。なぜなら、間接的な情報だけでも個人の特定が可能だからである。

データフロー上の情報の組み合わせやデータ転送にも適切な保護手段が必要である。GEヘルスケアでは個人情報のリスクを配慮し、データフローに含まれるデータ量を最小化するようにエンジニアリングチームに要求している。その機器の機能に必要のない個人識別子は含めない。

3.セキュリティリスクの評価

不正にデータにアクセスするものが部外者であるとは限らない。信頼された内部の者の不正使用が最大の脅威である。機器の使用者が情報に自由にアクセスできるといった状況は避けなければならない。脅威となる要因、機器に内蔵されている情報の価値、そしてその脆弱性を分析することである。脅威の点では、外部だけでなく内的要因にも配慮しなければならない。

カテゴリー: