セキュリティトピック

医療機器セキュリティ:対処が必要なのは今です

医療分野は、その業界のあらゆる場所で革新的な進歩を遂げています。かつて病院のベ ッドに据え置いて接続して使用する必要があった機器は、今や、ポータブルかつワイヤ レスになっています。

また、ほとんどすべての人が身に着けるタイプのフィットネス機器を使用しています。

これらの利便性は注目されていますが、医療機器、特にインターネットに接続されている機器のセキュリティ上の懸念は考慮されるべきです。これらのセキュリティ問題に対処し、潜在的に危険なシナリオから個人を保護するための時期は今を置いてありません。

高騰する医療データの価格

闇市場において医療データの売買は熱い分野です。医療機器業界へのサイバー攻撃は増 加しており、これは主に医療データの高騰によるものです。

闇市場では、医療データはクレジットカード情報よりも最大20倍も高く売れると言われ ています。これにより、攻撃者にとって医療機関が魅力的な標的になっています。

さらに、多くの医療機器ベンダーは、適切な予防措置をとらないことによって、自分や 患者をこうした攻撃から守ることができないでいます。

プライバシーとセキュリティ

これまで、医療業界は、患者や他の専有データのプライバシーに重点を置いていました。例えば、HIPPA(※Health Insurance Portability and Accoutability Act of 1996:米国における医療保険の携行性と責任二関する法律)は、アクセス権を制限することによって患者情報を保護しています。しかしプライバシーはセキュリティと同義ではありません。過去10年間で、業界は医療記録のプライバシー面を保護する上で大きな進歩を遂げました。今後、その焦点はセキュリティに移行する必要があります。医療機器業界の多くのプレイヤーは、多くの分野で未熟な状態にあり、重大なセキュリティリスクに直面しています。

ネットワーク医療機器

セキュリティ向上の最大のポイントの1つは、ネットワーク化された医療機器にあります。MRIやX線装置、心臓モニター、超音波、輸液ポンプなどの無人医療機器は、患者、医療提供者、病院管理者にセキュリティリスクをもたらします。ネットワーク化された医療機器が一般化するにつれて、これらの機器のセキュリティ確保が重要となっています。

この業界では現在、非常に多くの医療機器が保護されていません。アトランティック・カウンシルによる最近の研究では、ネットワーク化された医療機器のリスクについて検討しました。その結果、多くの医療機器のソフトウェア、ファームウェア、および接続性にリスクがあることが判明しました。「メールやプライベートネットワークを介してインターネットに接続しているという事実は、これらエコシステムをネットワークベースのリスクにさらしている」と同報告書は指摘しています。

特定のトラフィックをブロックしたり、ポートをシャットダウンしたりするだけでは十分な保護ではありません。適切なセキュリティポリシーを実施し、ネットワーク全体のトラフィックをリアルタイムで監視する必要があります。

リモートモニタリング

リモートモニタリングはセキュリティを必要とする別の領域です。モニタリングされている患者が容易に移動できるようになるようなことを可能にする多くの技術が存在します。これらの機器は家庭内でより普及しており、2017年までに無線リモートモニタリング機器を使用している人は180万人に達すると推定されています。糖尿病患者は、無線インスリンポンプを使用して自宅や他の場所から医師のオフィスに血糖値を伝えることができます。患者のバイタルサインを測定して医師に伝え、患者の健康を継続的に保つことができる他の在宅監視システムもあります。

これらの進歩は、患者の移動性と柔軟性を高め、医療従事者が患者の健康状態をより詳細に監視し、情報に基づいた重大な意思決定を行うことを可能にします。しかし、これらの新しいシステムはセキュリティ上の脆弱性をも引き起こします。

無線注入ポンプは非常に一般的なリモートモニタリング装置です。近年、これらのデバイスについて多くの懸念が表明されています。米国立標準技術研究所(Institute of Standard and Technology)が報告したところによると、いくつかの無線注入ポンプは伝統的なITセキュリティツールでスキャンできないという事実が主な懸念事項の1つです。

一部のポンプは、ソフトウェアインストール前にアップデートイメージの発行元確認を行っておらず、デバイスは不正なソフトウェアやアクセスに対して脆弱なままです。最近、セキュリティ研究者のジェレミー・リチャーズは、あるブランドのドラッグポンプについて、「これほどセキュリティが考慮されていないIPデバイスは今まで見たことがない」と指摘しました。

Deloitteは最近の記事で、「ネットワーク化された医療機器は医療において変革の役割を果たす可能性を秘めていますが、患者や医療機関に安全性とセキュリティのリスクをもたらすアイテムとなりうる」と指摘しています。

行動を起こしましょう

製造業者および医療機関はもはやセキュリティ対策を先延ばしすることはできません。医療機関がデバイスとデータを保護するための行動を開始するまで、今後数年間は引き続き重要なデータ侵害が行われる危険性があります。すべての医療関連組織は、悪意のある攻撃者によって奪われることのない安全なネットワークを維持するための正しいセキュリティプラクティスを確保する必要があります。

原文はこちら

カナダ保健省が医療機器のサイバーセキュリティに関するガイダンスを発表

カナダ保健省が医療機器のサイバーセキュリティに関するガイドラインを発表

カナダ保健省は、医療機器のサイバーセキュリティに関する市販前要件のガイドライン文書を発表しました。この文書は、製品の開発段階において医療製造機器の製造業者に対し、製品が市場にリリースされる前に安全であることを保証するためのサイバーセキュリティにおける推奨事項を提供することを目的としています。

続きを読む

IoTを安全に保つ : PKIはIoTを安全に保つ鍵となるのか?

IoTを安全に保つ : PKIはIoTを安全に保つ鍵となるのか?

成長するインターネットが、その速度を落とすことはありません。しかし、セキュリティ上の懸念は、消費者にとって避けがたい問題になってきています。DigiCertのIoTセキュリティ担当のVP、Mike NelsonGreenがIoTセキュリティと公開鍵インフラストラクチャとの戦いについての彼の見識を共有します。

続きを読む

IoTのための4つの考察

IoTのための4つの考察

IoT(Internet of Things)に接続されるデバイス数の増加は市場で存在感を強めています。ガートナー社は、IoTに接続されるデバイスの数は2020年までに250億個に上ると見込んでいます。そしてこれは、データを暗号化せずに送信するデバイスが数十億個存在するかもしれないことを意味します。医療機器、高エネルギー機器、個人データを含む機器などの価値の高いターゲットがこれらのデバイスに含まれている場合、データ漏洩のリスクは天文学的なものになります。

続きを読む

コミュニティに参加

Symantec Connect(シマンテックブログ)でセキュリティに関する議論に参加

COMMUNITY

脅威インテリジェンスについて Twitter @Threatintel をフォロー

SYMANTEC ON TWITTER

YouTube チャンネルでシマンテックウェブサイトセキュリティのビデオを見る

SYMANTEC ON YOUTUBE