MEDTEC Online

医療機器のサイバーセキュリティの現状と展望(1)

医療機器のサイバーセキュリティの現状と展望(1)

By:茗原秀幸〔一般社団法人保健医療福祉情報システム工業会(JAHIS)セキュリティ委員会 委員長〕

1.はじめに

近年、オープンネットワークに接続された医療機器の問題がクローズアップされ、各国政府や業界団体などが対策について検討を行ってきた。患者安全の観点からのSafetyマネジメントと情報セキュリティの観点からのSecurityマネジメントの混合案件として、対応が注目されている。

本論文では、医療機器のサイバーセキュリティの問題点と、その解決に向けた国や工業会のアプローチについて述べる。

2.医療機器とサイバーセキュリティ

医療機器のサイバーセキュリティ問題が注目を浴びるようになった大きなポイントは2011年にインスリンポンプにおける脆弱性に対するハッキング実験が成功した(J. Radcliffe, Hacking medical devices for fun and insulin: Breaking the human scada system, Black Hat USA 2011)ことである。この実験ではインスリンの投与量を変更するなどの致死性の攻撃が可能になることを示した。

それ以降、医療機器のサイバーセキュリティが注目され、2013年のICS-CERT(The Industrial Control Systems Cyber Emergency Response Team)の調査の結果、多くの医療機器のパスワード等がハードコードされていることが判明した〔ICS-CERT, Alert (ICS-ALERT-13-164-01) Medical Devices Hard-Coded Passwords, http://ics-cert.us-cert.gov/alerts/ICS-ALERT-13-164-01〕

これらの状況を受け、FDA(Food and Drug Administration)や厚生労働省などが対策に取り組むこととなった。そして2015年7月、FDAは医療機器のサイバーセキュリティ対策の不備について有害事象として警告を発信した(https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm456815.htm)FDAは当該システムの使用を中止し、他システムへ移行することを強く勧めている。(当該機器はFTPとTELNETのポートにアクセス可能となっていたため、本来権限のない第三者が注入量の変更を行える状態にあった。)

3.患者安全と情報セキュリティ

従来、患者安全の考え方は国際標準のISO 14971(JIS T 14971)「医療機器-リスクマネジメントの適用」に基づいて行われることが一般的であった。ISO 14971におけるハザード(危害の潜在的な源)の分析においては、「意図する使用および合理的に予見できる誤った使用」を想定し、「予見可能」なものを検討することとなっている。そのため、既存のリスクアセスメントにおいて、「悪意をもった外部からの攻撃」をハザードとして規定することは殆ど行われてこなかった。

また、医薬品・医療機器等法においても、基本的には医療機器単体におけるリスクマネジメントを求めており、組織による多層防御によって実行されるサイバーセキュリティ対策の考え方を持ち込むことは簡単ではない状況であった。

情報セキュリティの観点から見れば、サイバーセキュリティを考えるのは医療機器を利用する医療機関である。厚生労働省から「医療情報システムの安全管理に関するガイドライン」が発行されており、医療機関はガイドラインの遵守が求められている。医療機関は、国からの要請を満たす形で自らの組織に対するサイバー攻撃等から情報資産を防護するための技術的対策や運用的対策を行っている。

医療機関が適切なセキュリティ対策を実施すれば医療機関内部にセキュアゾーン(サイバー攻撃に対する一定のセキュリティが確保されたエリア)を構築し、医療機器をセキュアゾーン内で利用することが可能であるため、医療機器に求める情報セキュリティのレベルは利用する医療機関の情報セキュリティのレベルによって異なってくる。たとえば基幹系と情報系を完全に分離した場合、基幹系はオープンネットワークとは隔離され、基幹系に接続される医療機器はサイバー攻撃のターゲットになる可能性は非常に小さい。

医療機器の運用において数秒の遅れが死に直結する可能性のある医療分野においては、可用性が重視されており、不正アクセス防止のための認証機能は可用性の観点で見ると、むしろセキュリティレベルを低下させる。(たとえば、不正利用を防止するために利用者認証機能を組み込んだ結果、認証手続きによって対処が数秒遅れたため、患者が死亡することを許容できるかという問題。)このことは、医療機器が取るべき情報セキュリティ対策として、常にオープンネットワークにさらされている前提の対策を実施することが適切ではないことを示している。オープンネットワーク接続を前提としたセキュリティ対策の強化は、製品コストが上昇するのみならず、利用する側の環境によっては可用性が低下することになりかねない。

4.医療機器の情報セキュリティ対策の問題点

医療機器は医薬品・医療機器等法によって基準適合認証を受けた機器であるため、ソフトウェアのアップデート等内容の変更が発生する場合は届出あるいは再認証を受ける必要が生じる。情報セキュリティ対策を追加することで認証の取り直しが発生する可能性があり、簡単に機能の追加変更が出来ない。

また、情報システムであれば概ね5~6年程度で更新されるのが一般的であるが、医療機器の場合10年以上使用されるケースも十分あり、OSにいまだにWindowsXPが利用されている機器も数多く残存している。OSのアップデートや不具合対策のモジュール適用も、当該モジュールに医療機器としての本来機能を損なう別の不具合を内包している可能性があり、十分な検証を行ってからでないと適用が難しい。これらのことから、医療機器のセキュリティ対策は一般の情報システムに比べて適用が難しい状況となっている。

(1) (2)日本における規制と工業会の対応、今後の展望 →

カテゴリー: