医療機器のハッキング：攻撃から身を守る5つの方法

医療関連企業が機器やネットワーク、および接続先のシステムへの攻撃を防ぐには、医療機器のセキュリティに関するベストプラクティスに従う必要があります。コロナ禍にあっては、この点がとりわけ重要です。

新型コロナウィルス感染症（COVID-19）の拡大によって家庭で使用される医療機器の数が増加しており、対象医療機器のセキュリティを確保することが不可欠になりました。しかも、2030年までに団塊の世代が一斉に定年を迎えます。高齢化が急速に進む中、医療業界では医療機器を含めて安全で信頼性の高い製品やサービスの重要性が高まっています。この要件を満たすために多くの医療機器がサーバー側のシステムに接続され、医療機器とシステムの両方のセキュリティに関する専門知識の必要性が急速に高まっています。

セキュリティ上の弱点、脆弱性、データ漏洩は、患者の安全を脅かし、医療関連企業をデータの暴露およびHIPAAの規制に違反するリスクにさらす可能性があります。特にコロナ禍に見舞われ、医療従事者が医療機器を直接監視できない現状にあって、重要な医療機器の安全性を維持するにはどうすればいいでしょうか。患者の安全を確保するために医療機器会社はどのような対策を講じるべきでしょうか。これから、医療関連企業が医療機器のセキュリティを保護するために取るべき5つのステップをご紹介します。

医療機器のセキュリティに関する5つのベストプラクティス

1.      セキュアなソフトウェア開発ライフサイクル（SDLC）を構築する

セキュリティは、後から取り入れるのではなく、最初からソフトウェアシステムに組み込むことで最大限の効果を発揮します。医療機器メーカーおよびシステム開発チームは、セキュリティ要件、設計上の欠陥、コードレベルのバグを特定する予防的なプロセスを含む、明確に定義されたセキュア・ソフトウェア開発ライフサイクル（SSDLC）を確立する必要があります。SSDLCの主要なアクティビティは、攻撃者に侵害される可能性があるシステム資産と侵害方法（脅威ベクトルまたは攻撃ベクトルと呼ばれる）の特定です。SSDLCは、アプリケーションの脅威の状況を理解し、セキュリティ要件と設計上の欠陥を特定し、セキュリティテストに関する実践的なガイダンスを得るために役立ちます。SSDLCが成功している企業は、多くの場合 、セキュリティプログラムの成熟度を測定し、継続的に改善しています。
 

2.      クラウド・セキュリティを理解する

医療機器会社を含む多くの組織がITインフラをクラウドに移行しています。McKesson社などの企業が医療システムのデプロイ方法を変革するクラウドおよびインフラサービスを構築しているため、クラウドサービスのセキュリティに影響する次のような事項を理解することが重要です。

• 自分のセキュリティ上の責任とクラウドプロバイダーのセキュリティ上の責任
• クラウド上のデータ保護の方法
• クラウドへの移行に伴うHIPAAコンプライアンス基準の影響
• 暗号化されたデータの鍵を持つクラウドプロバイダーの信頼性

データを侵害や紛失から保護するという点ではクラウドプロバイダーの方が優れた実績を上げていることを示唆するいくつかの証拠がありますが、医療関連企業は、クラウドにリスクを移行するよりもインフラを移行する方が容易だということを理解する必要があります。通常、データ侵害の責任を負うのはクラウドプロバイダーではなく、医療関連企業です。
 

3.      セキュリティ対策としてのロギングと監視

セキュリティにどれだけ投資しても、医療システムが絶対に侵害されないという保証はありません。適切なロギングと監視により、悪意のある攻撃やシステムへの影響を即座に検出することが可能になります。
 

4.      セキュアなオペレーティングシステム（OS）を使用して医療機器を構築する

医療機器のライフサイクルはスマートフォンなどの携帯機器よりもはるかに長いことが多く、長年にわたって使える場合もあります。また、機器によってはセキュリティバグに対するパッチ適用に膨大なコストがかかったり、パッチ適用が不可能な場合もあります。医療機器の構築には、セキュアなプラットフォームを使用することが重要です。National Vulnerability Database（NVD：脆弱性情報データベース）は、QNXなどのセキュアなOSと比べて、Windows 10などのOSで表示されるセキュリティ脆弱性が多くなります。セキュアなOSを使用すると、セキュリティ関連のパッチ適用の必要性が軽減されます。
 

5.      デプロイのセキュリティも重要

SSDLCを確立することは必須条件であって、それだけでは十分ではありません。セキュリティの維持は、患者、医療従事者、医療機器/システムのメーカー間で共有される責任です。医療機器や医療システムを構築する場合は、システムのデプロイ方法と使い方を理解する必要があります。また、顧客に必要なセキュリティガイダンスを提供する必要があります。