セキュリティトピック

カナダ保健省が医療機器のサイバーセキュリティに関するガイドラインを発表

医療業界では、その性質上、機密の患者データを扱います。医療記録に加えて、今日の医療機器の多くはネットワーク接続されており、潜在的なサイバー攻撃に対して脆弱です。

2018年10月に、米国食品医薬品局(FDA)は、サイバーリスクを含む市場導入前の医療機器に関するガイドラインを発表しました。その数週間後、カナダ保健省は、医療機器のサイバーセキュリティに関する市販前要件のガイドライン文書を発表しました。この文書は、製品の開発段階において医療製造機器の製造業者に対し、製品が市場にリリースされる前に安全であることを保証するためのサイバーセキュリティにおける推奨事項を提供することを目的としています。

サイバーセキュリティは、法的責任、収益の損失、さらに患者や顧客からの信頼の喪失など、医療提供者およびデバイス製造業者に複数のリスクをもたらします。接続機器の急成長に伴い、ヘルスケア業界はセキュリティインシデントや侵害の脅威を最小限に抑えるための対策を講じることが求められるようになりました。医療機器メーカーは、製品の計画と開発の際に自社製品にセキュリティを組み込む必要が出てきたのです。

医療機器サイバーセキュリティの市販前要件に関するカナダ保健省ガイドライン文書は、製造業者が他の機器とのインタフェースにおけるすべての接続を保護することを奨励しています。これにより、サーバーや電子カルテシステムなどのバックエンドシステムに接続する際の安全な認証のためのベストプラクティスが保証されます。このガイドラインには、保存データおよびデバイス上のデータの暗号化によるデバイスとバックエンドシステム間の接続の保護も含まれており、デバイスへのアクセスと特権を付与するためのユーザーアクセス制御に関する推奨事項がまとめられています。

セキュリティ業界の観点から、PKIの適切な実装とデジタル証明書の使用が、バックエンドシステムに対してデバイスを安全に認証し、転送中のデータを暗号化するための最良の方法だと考えられます。

ほぼすべての業界がサイバー犯罪の影響を受けやすいのですが、医療業界は、個人情報と物理的な安全性の両面から、サイバー脅威が個人の生活に直接影響を及ぼす可能性がある業界です。サイバーセキュリティを確保することは、デバイスメーカー、規制当局、ヘルスケアIT、そして患者とクライアントにとっての責任です。医療機器の市販前の開発においてセキュリティ保護のガイドラインを持つことは、ヘルスケアエコシステム内のすべての関係者を保護するために不可欠なのです。

接続された医療機器はいたるところにあります。より多くのデバイスが市場に参入するにつれて、サイバーセキュリティ保護を確保することはより困難になっています。接続された医療機器には、診断装置、MRI装置やCATスキャン装置などの画像保管通信システム(PACS)、実験装置、輸液システム、さらには患者用ベッドさえも含まれます。現在、機器メーカーの多くは接続された機器からデータを監視および収集するために、病院全体で使用するタブレットコンピュータを提供しています。最も急速に成長している接続型医療機器は、連続的なグルコースモニターおよびインスリンポンプを含む心臓、神経学および糖尿病用機器のような消費者向け製品です。これら消費者向け機器は患者が着用しているか、患者に埋め込まれており、収集したデータは通常Bluetoothを介してスマートフォンやスマートウォッチに集約され、その後ワイヤレスでクラウドに送信されます。医療機器が病院で購入されるか、患者と消費者によって購入されるかなどにかかわらず、今回カナダ保健省が発表したガイドラインはすべての機器に適用されます。

カナダ保健省のガイドライン文書では、構成設定を操作してデバイスを変更しようとする許可のない個人からのアクセス防止を考慮し、製品のセキュリティテストを製造元の検証および検証プロセスに組み込むことを推奨しています。なお、推奨される戦略には、安全なデバイス設計、デバイス固有のリスク管理、検証と認証、そして新たなリスクの監視と対応計画が含まれています。

カナダ保健省は、実質的で具体的かつ実用的なガイドラインを提供することによって、製造業者がサイバーセキュリティ問題の対処においてより敏感に対応できるように支援を続けており、これらは賞賛されるべきことです。このガイドラインは、セキュリティが医療機器の開発に不可欠であることを保証し、製造業者の開発プロセスを支援する、市場として歓迎するべき規制指針です。

原文はこちら

医療機器セキュリティ:対処が必要なのは今です

医療機器セキュリティ:対処が必要なのは今です

かつて病院のベ ッドに据え置いて接続して使用する必要があった機器は、今や、ポータブルかつワイヤ レスになっています。また、ほとんどすべての人が身に着けるタイプのフィットネス機器を使用しています。これらの利便性は注目されていますが、医療機器、特にインターネットに接続されている機器のセキュリティ上の懸念は考慮されるべきです。これらのセキュリティ問題に対処し、潜在的に危険なシナリオから個人を保護するための時期は今を置いてありません。

続きを読む

IoTを安全に保つ : PKIはIoTを安全に保つ鍵となるのか?

IoTを安全に保つ : PKIはIoTを安全に保つ鍵となるのか?

成長するインターネットが、その速度を落とすことはありません。しかし、セキュリティ上の懸念は、消費者にとって避けがたい問題になってきています。DigiCertのIoTセキュリティ担当のVP、Mike NelsonGreenがIoTセキュリティと公開鍵インフラストラクチャとの戦いについての彼の見識を共有します。

続きを読む

IoTのための4つの考察

IoTのための4つの考察

IoT(Internet of Things)に接続されるデバイス数の増加は市場で存在感を強めています。ガートナー社は、IoTに接続されるデバイスの数は2020年までに250億個に上ると見込んでいます。そしてこれは、データを暗号化せずに送信するデバイスが数十億個存在するかもしれないことを意味します。医療機器、高エネルギー機器、個人データを含む機器などの価値の高いターゲットがこれらのデバイスに含まれている場合、データ漏洩のリスクは天文学的なものになります。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE