パンデミックの世界における医療機器のセキュリティ
パンデミックは、昨年、多くのことを保留にしましたが、医療機器のセキュリティを保留してはなりません。
人々の健康を維持し、多くの場合、人々を生かし続けるのに役立つ何百万もの医療機器は、インターネットが登場して以来、セキュリティの専門家によりさまざまな批評の対象となっています。パンデミックが起こってからの1年間で、さらに増加しています。
これらの機器の利点がリスクを上回るということについては、ほぼ全員が合意しています。それらの機器に直接依存しているセキュリティの専門家でもさえ同じ意見です。
医療機器のセキュリティの専門家で1型糖尿病患者のJay Radcliffeは、6年以上前にラスベガスで開催されたBlack Hatカンファレンスで、ネットワーク接続型医療機器のメリットがリスクを大幅に上回っていると宣言したことで知られています。彼は、自身の利用しているJohnson & Johnsonのインスリン輸液ポンプをハッキングしてから数年後、CNBCにほぼ同じ話をしました。
彼は、悪意のあるハッキングが可能であり、ユーザーに壊滅的な損害を与える可能性があることを認めましたが、彼自身のような一般的な人にとって、「攻撃者が私の後ろに忍び寄り、バットで私の頭に致命的な打撃を与える可能性のほうががはるかに高い」と述べました。
それでも、医療機器のセキュリティはもっと良くなるはずだという一般的な合意もあります。また、シノプシスの専門家の中には、パンデミック自体は悪いことであるものの、COVID-19のパンデミックはセキュリティを保留にする正当な理由ではないと言う人もいます。
医療機器のセキュリティの状況
あるレベルでは、このような緊急事態の際に、死にかけている人々を救おうとすることよりも長期的な問題を優先すべきだと言いたがる医療機関はありません。 キッチンが燃えていて、誰かがドアが開錠されていると言ってきたとしても、ドアについて何かをするよりも火を消すことを優先するはずです。
もちろん、ハッカーもそれを知っています。 彼らは、病院でのCOVID患者の急増してICUが満床となり、スタッフの疲労により攻撃の機会が拡大、つまりアタックサーフェスを生み出すことを知っています。
ネットワーク接続型の医療機器に新たな脆弱性が発生することはそれほど多くありませんが、発生しないわけではありません。 Synopsys Software Security GroupのSenior Manager of Security solutions and Standardsである Chris Clarkは、アプリケーションやその他の患者管理ソリューションを使用するためのCOVID-19関連の慌ただしさのおかげで、「これまで存在しなかった脆弱性がもたらされました」と述べました。
しかし、リスクの大幅な増加は、既存のネットワーク接続型機器がより多く使用されているという事実に起因するものです。
Synopsys Software Integrity GroupのPrincipal consultantであるMichael Fabianは、次のように述べています。 「それは、理想的とは言えない状況でのネットワークレベルのアクセスと相まって、機器の潜在的な脆弱性のために、リスクを増大させる可能性があります。」
拡大するアタックサーフェス
実際、リモート接続が増えると、攻撃者にとってより多くの機会が得られます。 また、パンデミックにより、接続されたCTスキャナー、監視システム、患者の遠隔測定システム、人工呼吸器などの使用が急増しました。これらはすべて、セキュリティとプライバシー保護を組み込む必要があります。 ただし、これらのシステムやデバイスの多くは、インターネットに接続するように設計されていないレガシープラットフォームで動作します。 これらは安全に機能するように設計されていますが、医療機器のセキュリティは考えられていませんでした。後付けでいいだろうと考えていたのでしょう。
そして、接続されていることはすべてを変えました。 Synopsys Software IntegrityGroupのシニアセキュリティストラテジストであるJonathan Knudsenは次のように述べています。
「インターネットは、控えめに言っても攻撃を受けやすい環境です。したがって、機器とサービスをオンラインでより利用しやすくすることは、より多くの攻撃者にそれらをさらすことに直接的な因果関係をもたらします。」
「それらの有するセキュリティは弱いものだったかもしれませんが、ネットワーク境界セキュリティによって部分的に保護されていました。しかし、もしそれらが今インターネットに接続されていなければならないのであれば、攻撃者にとって容易な攻撃対象と言えるでしょう」とも。
当然の結果ですが、医療機関への攻撃は過去1年間で急増しました。米国保健社会福祉省は、2020年の前半に50%近く増加したと報告しました。
これらの攻撃のすべてが、患者向けのネットワーク接続型機器を特に対象としたものではありませんでした。攻撃は、ネットワークサーバー、デスクトップおよびラップトップコンピューター、電子メールおよび電子医療記録(EMR)システム、遠隔医療プラットフォームも対象だったのです。
しかし、このような攻撃は、治癒目的で設計された機器が致命的な武器に変わる可能性があるリスクを高めます。実際、ランサムウェア攻撃はシステム全体をダウンさせる可能性があり、接続された機器を含む医療施設のすべての機能に影響を及ぼします。
求められる医療機器のセキュリティ向上
Clark、Fabianそしてその他の専門家はパンデミックの有無によらず、セキュリティは向上すべきと述べています。
Fabianは素っ気なく、「私の見解では、パンデミックでは何も改善しない」と述べた。
「病院は忙しく、需要が逼迫している特定の治療法についての最大の運用能力を持っているため、治療用宿泊施設の運用面により多くの負荷がかかる可能性があります。しかし、たとえ負荷が増加しても、標準の情報セキュリティプロセスが引き続き適用されるべきであるという事実を変えるものではありません。」
Clarkによると、病院が通常の2倍の数のリモート接続機器を使用している場合リスクは高まりますが、使用が増えたためではありません。 「原因は安全でないフレームワークを用いていることです」と述べ、「パイプラインに必要なソリューションを実装し、システムにセキュリティを組み込むことができていません。」
ClarkとFabianは、脆弱性が発見されたとしても、ネットワーク接続型の機器にパッチを適用するのは難しすぎるという長年の議論を受け入れません。パッチを適用しない理由の1つは、多くの機器にソフトウェアアップデートをインストールするために組み込まれたツールがないこと、もう1つの理由は、機器が更新された際に米国食品医薬品局(FDA)が再認証を要求するからです。
(注:パッチ適用後に機器が正常に動作することはメーカーが保証すべき事柄)
しかし、FDAは、4年前に独自の更新、つまり”postmarket management of cybersecurity for medical devices.“(医療機器のサイバーセキュリティの市販後管理)に関する新しいガイダンスで、その問題の大部分を取り除きました。 このガイダンスにより、定期的なパッチや更新をFDAが報告を求め、またはレビューする必要がないことが明確になりました。
パッチや、機器にアクセスするためにより厳密な認証を要求するなどの他のセキュリティ対策に対する真の抵抗は、次の理由によるものです。
「医療業界は歴史的に、運用慣行に関しては変化に対する許容度が非常に低くなっており、臨床医はワークフローのわずかな変更でさえ大きな抵抗に遭います。」
彼は、機器ベンダーは医療デバイスのセキュリティを改善する責任があると述べたが、それを付け加えた。
「これらの機器の更新の複雑さは、機器の展開方法や提供する機能よりも重要です。 さまざまな機器ベンダーが解決できなかったことは問題ではありません。」
パンデミックによるセキュリティの停止
「パンデミックは、『これを行わないことの正当化』の言い訳の一つにすぎません。」
とFabianは述べています。
「リモートアクセスのような基本的なものにも、その問題を解決する方法があります。 ここでは、個々の事象を詳細に説明しません。これは比較的一般的な使用例で、ベンダーと運用担当者は、リスクベースの考え方に基づいて、安全な方法でそれを実現するために協力する必要があります。」
Clark は同意しつつ、「問題は資産の数ではなく、その使い方だ」と指摘しています。
防御可能かどうかにかかわらず、現実には、パンデミックはセキュリティの優先順位を下げさせました。 しかし、パンデミックが収まっても、そこにとどまる必要はありません。 医療機関がセキュリティを犠牲にすることなく、避けられない次の緊急事態に対応する準備をするのに役立つ豊富なリソースが利用可能だからです。
医療機器に対するFDAガイダンス
FDAは、2018年4月に“Medical Device Safety Action Plan”(医療機器安全行動計画)を発表しました。これはシノプシスも作成に参画しました。
その主要な目標の中には、
「医療機器のサイバーセキュリティに関する市販前ガイダンスを更新して、中程度のリスク(臨床業務を混乱させ、患者のケアを遅らせる可能性のあるランサムウェアキャンペーンなど)および主要なリスク(リモートの複数患者の壊滅的な攻撃を可能にする脆弱性の悪用など)からの保護を強化する」がありました。さらに3か月後の2018年7月、FDAは、医療機器メーカーと患者向けの“consensus standard”としてANSI (American National Standards Institute) UL 2900-2-1の採用を発表しました。
デバイスの市販前認証プロセスを変更したUL2900-2-1は、とりわけ、「構造化された侵入テスト、製品のソースコードの評価、およびソフトウェアの部品表の分析」を求めています。
これらは、セキュリティの専門家が10年以上にわたって推奨してきた種類のソフトウェアテストと分析です。 これには、静的、動的、インタラクティブ・アプリケーション・セキュリティテストに加えて、オープンソース・ソフトウェア・コンポーネントと依存関係のソフトウェア・コンポジション解析が含まれます。
また、昨年の秋、FDAは、医療機器に見られる脆弱性の重大度をランク付けするために設計されたMITRE Corporationによって作成されたルーブリックを承認しました。 この承認により、ルーブリックは医療機器開発ツール(MDDT)として認定されます。 これは、スマートウォッチから医療機器、重要インフラ、車両に至るまでの脆弱性に対する単一のスコアリング・システムが、誤解を招くまたは混乱させるだけでなく、危険である可能性があるために開発されました。
銀の弾丸は無い
また、裁量による柔軟性が必要なのはスコアリングシステムだけではありません。 セキュリティの管理も同様です。 「優先事項は患者の安全です」とClarkは述べ、状況によってはセキュリティ・アップデートを待たなければならない可能性があると述べた。
「病院のCOVID患者は頻繁に人工呼吸器を使用しています」と付け加え、「したがって、すべてのユーザーが同時にシャットダウンする必要があるアップデートをプッシュしたくないことは明らかです。」
「つまり、すべての状況に適用できる単一のソリューションはないということです。」
