「医療データは闇市場でクレカ情報より約20倍の値がつく」 医療IoT機器のセキュリティを死守するために：IoT時代のセキュリティ絶対防衛ライン（2/2 ページ）

[マイク・ネルソン（DigiCert），ITmedia]

　MRIやX線装置、心電図モニター、超音波、輸液ポンプなどの医療機器は、患者、医療従事者、病院管理者にセキュリティリスクをもたらします。ネットワークにつながる医療機器が一般化するにつれて、これらの機器のセキュリティ確保がますます重要となるのです。

　しかし、現状は非常に多くの医療機器がセキュリティ上の脅威から保護されていません。米国の政策研究機関であるAtlantic Councilが行った研究によれば、多くの医療機器のソフトウェア、ファームウェア、ネットワークへの接続経路にリスクがあることが判明しています。

　同機関は、「メールやプライベートネットワークを介して機器がインターネットに接続しているということは、医療機器のエコシステムをセキュリティリスクにさらしている」と指摘しています。

　特定のトラフィックをブロックしたり、ポートを遮断したりするだけでは十分に保護できているとはいえません。適切なセキュリティの運用ポリシーを実施し、ネットワーク全体のトラフィックをリアルタイムで監視する必要があります。

患者の遠隔モニタリングにもリスクが潜んでいる

　患者を遠隔で見守るモニタリングの仕組みもまた、セキュリティ対策を必要とする領域です。テクノロジーの進化によって、モニタリング機器を身に付けていても患者の自由な行動を妨げない技術が発展しています。

　これらの機器は家庭内でより普及しており、2015年当時には「17年までに無線リモートモニタリング機器を使用している人は180万人に達する」と推定されていました。例えば、糖尿病患者はワイヤレスのインスリンポンプを使用することで、自宅に居ながらにして医療機関に血糖値を伝えられます。患者のバイタルサインを遠隔で医師に伝えることで、健康を保つことができる見守りシステムもあります。

　これら技術の進歩は、患者を束縛することなく医者が患者の健康状態を詳細に見守り、その情報に基づいた診断を行えるようになるでしょう。

　しかし、これらの新システムはセキュリティ上の脆弱性も引き起こす可能性もあります。ワイヤレスのインスリンポンプは一般的に普及している機器ですが、近年はセキュリティ上の懸念が表明されています。「NIST」（米国国立標準技術研究所：National Institute of Standards and Technology）の報告によると、いくつかの製品は従来のITセキュリティツールで脅威をスキャンできない点が懸念されています。

　さらに一部の製品は、ソフトウェアのインストール前にそのファイルの発行元確認を行っておらず、デバイスは不正なソフトウェアやアクセスの侵入に対して脆弱な状態だといいます。セキュリティ研究者のジェレミー・リチャーズ氏は、あるブランドの製品について「これほどセキュリティが考慮されていないIPデバイスは今まで見たことがない」と指摘しました。

　コンサルティング会社のデロイトも、「ネットワーク化された医療機器は医療において変革の役割を果たす可能性を秘めていますが、患者や医療機関に安全性とセキュリティのリスクをもたらすアイテムとなり得る」と指摘しています。

　医療機器ベンダーや医療機関は、もはやセキュリティ対策を先延ばしすることはできません。彼らがデバイスとデータを保護するための行動を開始するまで、今後数年間は引き続き重要なデータ侵害が行われる危険性があります。全ての医療に携わる組織は、悪意のある攻撃者に対抗できる安全なネットワークを維持するために正しいセキュリティ知識を身に付ける必要があります。

著者：マイク・ネルソン、日本語監修：デジサート・ジャパン

デジサートは、ベリサイン、シマンテック・ウェブサイトセキュリティとして、SSL／TLSサーバ証明書などを販売していた会社を前身としており、それらの製品を発行する基盤（PKI=公開鍵基盤）で作られたデバイス機器向けの証明書やコードサイニング証明書を発行しています。