MEDTEC Online

医療機器へのサイバー攻撃はすでに始まっている!

医療機器へのサイバー攻撃はすでに始まっている!

なぜ医療機器メーカーの中にはサイバー攻撃に対する防御が不十分な会社があるのか?そしてサイバーセキュリティを高めるには何が必要なのか?

By: Marie Thibault(オリジナルの英文記事はこちら

サイバー攻撃は単なる医療関連企業や病院に対する脅威ではない。この数ヵ月に、カリフォルニア州、インディアナ州、カンザス州の病院で患者情報を保管するネットワークへのサイバー攻撃が報告された。数百万の患者の個人データが危険に曝された可能性がある。

Battelle社のサイバー組み込みシステムエンジニアであるStephanie Preston氏によれば、病院のシステムに対するランサムウェア(押し売りウイルス)や医療機器に対するマルウェア(破壊工作ウイルス)の攻撃が多くの事例で発見されている。また、FBIとFDAは医療機器のサイバーセキュリティに対する警告と安全性通告を出した。

幸いなことに、医療機器メーカーはサイバーセキュリティに関するニュースや警告に十分に注意を払っているようである。

注意するだけでは足りない

Preston氏は医療機器業界でサイバーセキュリティの必要性への認識が高まりつつあるという。「私たちはまだ初期段階にいます。知識不足はありますが、業界内で非常に高い関心があり、それはよい兆候だと思います」。

サイバーセキュリティが業界にとってホットな話題になる中で、マサチューセッツ医療機器産業協議会(MassMEDIC)による会議(”Preventing the Unthinkable: Issues in MedTech Cyber Security―Trends and Policies”)が行われる。

本会議は10月1日に開催され、規制当局、セキュリティ専門家、医療機器専門職を一堂に集め「業界内の聴衆を多く集めて現状と対策、ベストプラクティスを論じる」(MassMEDIC代表のTom Sommer氏談)ものである。

タレントはどこに?

本会議でも講演するPreston氏は、医療機器専門職への教育レベルを高めることがサイバー攻撃に対する防壁を強化することにつながるという。彼女によれば教育は十分すぎることはない。また、こうした分野で十分にタレントがいないことも大きなハードルになっている。「サイバーセキュリティの専門家を必要とするすべての業界でこうしたタレントを求めています」。

リバース・エンジニアリングシステムを専門とするPreston氏によると、セキュリティ専門家は多くが自己学習でスキルを身につけたという。「大学でサイバーセキュリティの課程が増えれば、こうした状況も改善していくでしょう」。

長期間の対策が必要

テクノロジーやソフトウェア産業と異なり、医療機器では製品開発の期間は長年に及ぶ。新しい機器の商品化まで5~7年の開発期間を要することは、他の業界では一般的ではない。しかも、移植機器の場合が特にそうであるように患者の使用期間も長期に及ぶ場合があり。このような事情もサイバー攻撃を防ぐ際にはチャレンジになっている。「医療機器業界にはユニークな側面があります。例えば、金融業界での支払処理システムやカード処理機器では開発期間はそれほど長くなく、商品としても寿命は長くありません。開発でも使用でも長期になるという点は医療機器の特徴であり、問題を一層難しくしています」。

何をすればよいか?

では、医療機器メーカーはどのように最新のサイバーセキュリティに遅れずについていくことができるのか。サイバー脆弱性と医療機器の特性に通じた専門家を確保することが急務である。「新たな攻撃はある規格のBluetoothにも始まっています。もし私が機器設計に精通していたら、どの機器が新しいセキュリティホールに弱いといったことがわかるのです」

タレント不足のために専門家を見つけるのが困難だが、この問題は患者の安全や企業イメージ、収益にとってますます重要性を増している。病院との購入契約等にもセキュリティ管理が含まれ、メーカー側に責任が課されるようになってきている。この傾向がどこまで大きくなるかは未知数である。

メーカーが絶対にしなければならないことは何だろうか?それは時代遅れの技術を使わないことである。「例えばもし『この機器はWindows XPで作動しています』というようなことを言われれば、おそろしくて心拍計がはね上がりますよ」とPreston氏はいう。彼女は問題を発見するため数十万ものデータで機器を自動的にテストするファズテストを推奨する。ファズテストはもっとも費用対効果が高いが、テスト結果の分析にはセキュリティ専門家のサポートが重要であるという。

先述のSommer氏によると、メーカーは機器設計においてソフトウェアにますます重きを置くようになってきている。「セキュリティの問題やその対策、そのためのソフトウェア開発とプログラミングへの関心は急激に高まっています」。

カテゴリー: