医療分野は、豊富なデータと高い利益性を持つ医療情報のため、サイバー攻撃の主要なターゲットとなっています。アメリカの司法省の報告によれば、昨年だけでアメリカの病院はロシアのランサムウェアハッカーに対して400件以上のインシデントで1億ドルを支払ったとされています。患者の命がかかっているため、これらの脆弱性に対抗することが重要です。
解決策は手の届く範囲にありますが、医療機器を開発する企業や前線でケアを提供する企業からの支援が必要です。このアプローチは、明確なガイダンスと適切な資金を提供する規制の枠組みに支えられるべきです。Qtは、業界の専門家と話し合い、今後のステップを探りました。
医療機器のネットワークセキュリティ: ファイアウォールを超えて守る
「サイバーセキュリティ攻撃の影響は自然災害のように扱うべきです。米国の研究によると、サイバー攻撃の5分の1が死亡率の増加を引き起こします—攻撃者が誰かを殺そうとしているわけではなく、人々が依存するシステムがダウンするからです。」CynerioのサイバーセキュリティエバンジェリストChad Holmes氏は述べました。
過去20年間で、点滴ポンプなどの医療機器はネットワーク化され、多くのソフトウェアの脆弱性が生まれました。適切に保護されていないと、これらの機器はマルウェアやランサムウェアのターゲットになる可能性があります。データの暗号化だけでは、セキュリティは十分ではありません。
画像保存通信システム(PACS)はデフォルトの管理者資格情報や悪用可能なURLにより脆弱であり、心血管情報システムはフィッシングの脅威に直面しています。患者データを表示する病院のスマートホワイトボードは、広範なアクセスの仮定により情報が漏れる可能性があります。さらに、新生児に付けられるブレスレットは医療機器ではありませんが、サーバーデータへのアクセスを得るために悪用される可能性があります。この脆弱性により、ブレスレットのデータが操作され、無許可のアクセスを可能にして赤ちゃんの誘拐を助長する可能性もあります。
命を救う可能性があるにもかかわらず、多くの医療機器技術は非常に脆弱です。Holmes氏は、多くのサイバー攻撃がフィッシングなどの基本的な手法を利用し、誰かが悪意のあるリンクをクリックすることで侵入することが多いと指摘しています。「私たちのネットワークは非常にフラットで、すべてのシステムが相互に接続されています。例えば、IVポンプがナースステーションと通信するのは問題ありませんが、同じIVポンプがエレベーターにも接続されるべきではありません。」
これは、ネットワークレベルでセグメンテーションやマイクロセグメンテーションと呼ばれるアプローチを採用することで回避できます。Holmes氏は「不必要な接続を極端に減らすことで、患者にリスクをもたらすことなく、必要なところだけに効果的に通信を可能にするのです。このようなプロジェクトは気の遠くなるようなものだが、長期的には正しい解決策です。現在、主要な機関はこのアプローチに注力しています。」を述べています。
もう一つの有望な進展は、ネットワーク検出と応答(NDR)技術です。NDRは、微生物検出ユニットが外国のサーバーと通信したり、ストレステスト用のトレッドミルがネットワーク上の複数のデバイスと接続を試みたりするなどの異常な通信パターンを検出できます。Holmes氏は「NDRはこれらの異常を特定し、迅速に対処することを可能にし、大規模な攻撃を単なるレーダーの点に変えることができます」と述べています。
サイバー脅威に対する
医療機器の強化
ハッカーは金銭的利益を目的としています。彼らはシステムを暗号化し、機能を迅速に回復させるために多くの場合、身代金を要求します。また、データを盗んで闇市場で販売し、電子保護医療情報(ePHI)は非常に価値が高いです。Holmes氏は、「ハッカーは常に存在するでしょう。目標は、私たちの環境を安全にし、もはや簡単で利益の大きい標的とならないようにすることです」と断言しています。
セキュリティへの投資は攻撃を抑止する可能性があります。例えば、Goldman SachsやBarclaysのような金融大手は、膨大なセキュリティ投資を行っているため、ランサムウェアの影響を受けることがほとんどありません。しかし、医療分野では、サイバーセキュリティが後回しにされることが多いです。なぜなら、患者ケアに直接使われない資金は無駄遣いと見なされるからです。
内視鏡や外科用器具を製造するKarl Storzの製品セキュリティ責任者であるJan Rueppell氏は、医療分野のセキュリティが他の業界に比べて15年から20年遅れていることに同意しています。彼は、医療製品のサイバーセキュリティを守るためには、製造業者と病院の協力が必要だと強調しています。「製造業者には、販売後に製品を維持し、更新する義務があります。病院は、これらの努力をサポートするためにソフトウェアメンテナンス契約を検討すべきであり、これは長期的には身代金に支払うよりも費用対効果が高いです。」と述べています。
製品内のすべてのソフトウェアコンポーネントを一覧にしたファイルであるソフトウェア部品表(SBOMs)は重要な分野の一つです。これには、QtやOpenSSL、Linuxオペレーティングシステムなどが含まれます。「メーカーは、開発中にCVE(共通脆弱性識別子)をスキャンするためにこれを使用します。しかし、新らたなCVEが出現する可能性があるため、販売後の監視が不可欠です。現在、一部の顧客はリスク評価を支援するために、販売後の監視を行う目的でSBOMsを要求しています。」とRueppell氏は述べています。
適切な品質保証(QA)ソフトウェアツールの選択も、医療分野におけるサイバーセキュリティリスクを低減するために重要です。ソフトウェア開発を成功させる鍵は、問題を早期に検出すること、あるいはそれ以上に、問題を完全に回避することです。アーキテクチャ検証では、最小特権の原則などのセキュリティ原則を遵守することで、ソフトウェア設計が攻撃に耐えられることを保証します。静的コード解析は、プログラムを実行することなく、バッファオーバーフローやSQLインジェクションなどの脆弱性を検出できます。コードカバレッジは、テスト中にコード全体がテストされることを保証し、QAの一環として潜在的なセキュリティ欠陥を早期に特定するのに役立ちます。
医療分野におけるサイバーセキュリティの進むべき道
病院が攻撃から安全であるという信念は、2014年に米国食品医薬品局(FDA)が医療機器のサイバーセキュリティに関するガイドラインを発表したことで劇的に変わりました。その後、他の国々も独自の枠組みを開発し、2017年には欧州連合(EU)で医療機器規制(MDR)が導入され、、セキュリティが規制要件となりました。
統一されたISO規格がないため、Storz氏はNISTサイバーセキュリティフレームワーク(NIST SP 800-53)を採用して、さまざまな規制を調和させています。Rueppell氏は、「新しい規制が出てきた場合、私たちのフレームワークと整合するかを確認し、必要に応じて調整します。幸い、医療機器に関する規制は、異なる地域でもかなり似ていることが多いです。」と述べています。
医療環境のセキュリティを確保するためには、協調した努力が必要です。Holmes氏は、医療機器メーカー、医療提供者、規制機関の間での協力の重要性を強調しています。「必要なガイダンスと資金を提供することで、これらのシステムのセキュリティを大幅に強化することができます。これら三者が協力すれば、実質的な進展を遂げることができるでしょう。」
医療分野のサイバー耐性を強化するためには、サイバーセキュリティの重要性を認識し、高度な検出技術を採用し、協力体制を促進し、強固な規制枠組みを維持し、セキュリティ対策を継続的に更新することが求められます。これらのステップを通じて、医療分野は患者データを保護し、命を救うサービスの継続性を確保することができます。
