ニュースリリース - 2017年5月29日

シノプシスとPonemon社による調査の結果、医療機器における重大なセキュリティ上の問題点が明らかに

医療機器メーカーならびに医療提供機関を対象にした調査で、業界における医療機器のセキュリティ対策に向けた協力と信頼性が不十分であることが明らかとなる

2017年5月25日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、“Medical Device Security: An Industry Under Attack and Unprepared to Defend”と題する調査結果を公表した。それによると、医療機器メーカーの67%、ならびに医療提供機関（HDO：Healthcare Delivery Organization）の56%は、設置した或いは使用中の医療機器に対するサイバー攻撃が12ヶ月以内に起こりうると確信している。また医療機器メーカーとHDOの1/3は、セキュリティ対策が十分でない医療機器によって患者が被害を受ける可能性を予測しており、こうしたリスクがあるにも拘らず、相応の対策を採っている医療機器メーカーはわずか17%、HDOは15%に過ぎないことも判明した。

今回シノプシスが実施した調査は、医療機器メーカーならびにHDOが、サイバーセキュリティ・リスクへの対処という課題に対して足並みが揃っているかどうかを確認すべく、先進のITセキュリティ調査会社 Ponemon Institute の指導の下に実施された。北米の医療機器メーカーならびにHDOで、体内埋め込み型メディカル・デバイス、放射線装置、診断/モニタリング装置、医療用ロボット、メディカル・デバイスや医療用モバイル機器に特化したネットワーク関連機器といった医療機器のセキュリティ担当業務を担う、医療機器メーカーならびにHDO の約550名を対象に実施したものである。

Ponemon Institute　創業者兼会長　Larry Ponemon博士は、次のように述べている。「医療機器のセキュリティは、医療機器メーカーならびにHDOにとって、まさに生死にかかわる問題です。今回の調査で明らかになったのは、患者が医療機器に対するサイバーアタックのリスクにさらされているという事実です。医療機器業界は、医療機器のセキュリティ対策に最優先で取り組まなければなりません。これは急務です」

今回の調査で注目されるポイントは以下のような項目である。

• セキュアな医療機器開発の難易度の高さ

  医療機器メーカーならびにHDO の80%は、医療機器のセキュリティ対策は非常に困難な課題と捉えている。医療機器が脆弱性を抱えざるを得ない主要因としては、予期せぬソフトウェア・コーディング・エラー、セキュアなコーディングに対する知識や訓練の不足、医療機器開発期間の制約などを挙げている。
   

• セキュリティ・テストが未実行の実態

  少なくとも年に1回は医療機器のセキュリティ・テストを実施していると回答した医療機器メーカーはわずか9%、HDO の場合は5%に過ぎない。逆に、過去に一度もセキュリティ・テストを実施していないと回答したのは、医療機器メーカーの43%、ならびにHDO の53%にも上る。
   

• 責任意識の欠如

  HDOの41%が医療機器のセキュリティに関して最も責任を負うべきなのは自身であると認識している一方で、医療機器メーカーとHDOの1/3は、セキュリティに責任を負う担当者もしくは役職が組織内には存在しないと回答している。
   

• 十分に機能していないFDA（アメリカ食品医療品局）ガイダンス

  医療機器に内在しているセキュリティ・リスクを最小化するために現行のFDAガイダンスに従っていると回答したのは、医療機器メーカーのわずか51%、HDO では44%に過ぎない。

シノプシス　ソフトウェア・インテグリティ・グループ　クリティカル・システム・セキュリティ担当グローバル・ディレクター　Mike Ahmadiは、次のように語っている。「ネットワーク接続とソフトウェア制御が進む一方の医療環境下で患者を健康かつ安心な状態に保つ責務が医療関連業界にはあるという観点からすると、今回の調査結果は、同業界が抱えているサイバーセキュリティ・ギャップを明確に示しています。当社が過去に2回実施したセキュリティ構築の成熟度モデル（BSIMM：Building Security in Maturity Model）に関する調査からも分かる通り、医療業界ではソフトウェア・セキュリティの問題に対処しきれていません。抜本的な方針転換が不可欠です。医療業界は、医療用ソフトウェアの開発ライフサイクルと、ソフトウェア開発サプライチェーンの全域にわたってセキュリティ対策を組み込み、安全なだけではなく安心して使用できる医療機器を実現する必要に迫られているのです」

本調査結果　“Medical Device Security: An Industry Under Attack and Unprepared to Defend”は、下記より入手可能。

https://www.synopsys.com/software-integrity/resources/analyst-reports/medical-device-security-report.html

調査対象について

本調査 “Medical Device Security: An Industry Under Attack and Unprepared to Defend”の調査対象は、2つのグループに大別される。第一グループは、医療機器メーカーに従事もしくは関わっている5,996名で、回答数277、うち有効回答数は242（全調査対象の4%）である。第二グループは、HDOに従事もしくは関わっている7,991名を対象としており、回答数287、うち有効回答数は262（全調査対象の3.3%）である。回答者には、機器製造、製品品質、IT、セキュリティ、コンプライアンスの責任者も含まれている。

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させるための最先端ソリューションとサービスを提供している。この各種の解析/テスト自動化テクノロジを搭載した包括的な開発プラットフォームは、ソフトウェア開発プロセスにシームレスに組み込むことができ、ソフトウェア開発者は、品質に影響を及ぼす欠陥、セキュリティ脆弱性、コンプライアンス上の問題点などをソフトウェア開発ライフサイクルの初期段階で検知/修正し、ソフトウェア・サプライチェーンを通じてセキュリティ問題を可視化し対策を施すことが可能となる。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細な情報はhttps://www.synopsys.com/ja-jp　より入手可能。