Electronics Information Service

組込みシステム技術者向け
オンライン・マガジン

MENU

ネットデバイス化が進む医療機器、直面する情報セキュリティの課題とは

2014.5.30  4:04 pm

「情報セキュリティExpo」で行われたIPAプレゼンテーションから最新の動向を紹介する

IPAブースでのプレゼンテーションの様子。二重三重と立ち見の聴講者が囲み、関心の高さがうかがえた。講演者はセキュリティセンター主任・中野学氏

情報家電、自動車等、組込み機器がインターネットにつながるようになり、同時に情報セキュリティの重要性も年々高まっている。
2006年から組込み機器の情報セキュリティ調査に取り組むIPA(独立行政法人情報処理推進機構)は、2013年度の調査に医療機器を対象とした。
ここでは、5月14日から3日間、東京ビッグサイトで開催された「情報セキュリティExpo」(リード・エグジビション・ジャパン主催)で、IPAブース内で実施されたプレゼンテーションを元に、医療機器における情報セキュリティの現状と対策を紹介する。


医療分野はエレクトロニクス企業の参入が急増中

今回IPAが医療機器を情報セキュリティの調査対象としたのは、医療機器医療機器も他分野の組込み機器同様に、機器の小型化、携帯化、汎用技術の利用が進展し、また一部の医療機器では近距離無線等の通信機能が搭載されるなど、他のIT化された組込み機器に見られる情報セキュリティ上の脅威が顕在化する可能性があるためだ。

組込みシステム開発の観点から見て、医療機器業界は期待される成長分野のひとつ。業界に新たに参入しようとする企業も急増している。

そうした傾向を裏付けるように、この4月に東京ビッグサイトで開催された、医療機器の設計・製造展示会でアジア最大規模である「MEDTEC Japan 2014」(UMB Canon Japan主催)は大盛況だった。

第5回の前回まで2日間だった会期が3日間に拡大、出展社数は112%アップの430社が集い、来場者に至っては実に213%アップとなる28,137名が来場している。
出展社はエレクトロニクス、ICT業界企業の増加が顕著で、組込み業界においても医療分野の急拡大が予見される。


組込み機器において情報セキュリティ対策が必要となる3要素

情報セキュリティの重要性が叫ばれる組込み機器だが、そのすべてに今すぐセキュリティが必要だというわけではない。
IPAが示す「情報セキュリティが必要となる3要素」を整理すると、以下となる。

  1. 新しいサービスの発達
    技術の進歩は新しいサービスを生み出す。価値が生まれた情報が狙われると大きな不利益が発生する。
  2. ネットワークへの接続
    これまでネットワーク等につながっていなかった製品群は、今後の攻撃の対象となりやすい。製品のセキュリティだけではなく、利用者の教育の検討も必要。
  3. 汎用プロトコルの利用
    独自プロトコルなら攻撃者がそれはどんなものかを理解するところから始まるが、汎用プロトコルを利用するようになると攻撃のハードルが下がりPC同様の脅威が発生する。

これを医療機器の現状と今後に照らし合わせると、次のようになる。

  • 新しいサービスの発達
    ・医療現場とクラウド・スマートデバイス等の連携
    ・ヘルスケア機器・サービスの発展
    ・一般家庭における高度医療の実現
  • ネットワークへの接続
    ・院内LANと外部ネットワークの接続
    ・医療機器における無線の活用
  • 汎用プロトコル等の利用
    ・Windows等の汎用OSの利用
    ・長期的(医療システムで5年、医療機器で10年)な利用
    ・医療を専門としないソフトウェアメーカ等の参入


組込み機器が直面する医療分野のセキュリティの課題と対策とは

医療機器におけるハッキング事例は、国内外で3年前から起きているという。
主な被害事例は次のようなものだ。

医療機器における情報セキュリティの事例(2014年4月16日付IPAプレスリリースより)

現状はUSB関連での感染で、結果としてスタンドアロンでの事例となっているが、医療機器のネットデバイス化が加速するなか、情報家電や自動車と同様のセキュリティリスクが増加することは否めない。
ただ医療機器の情報セキュリティには、他分野とは異なる業界特有の課題が浮上する。

まず、システムを提供するベンダに医療機器製品とセキュリティ両方の知識を兼ね備えた人材がいないこと。医療現場ではセキュリティの意識も低く、何より患者の命を守ることが最優先である。情報セキュリティ対策は、そうした医療現場とのバランスを考慮する必要がある。

制度に目を向けると薬事法の問題がある。ソフトウェアのインストールなどは薬事法で認められていない改造にあたると考えられており、薬事承認時に記載がなかったソフトのインストール、セキュリティパッチの適用、OSのアップデート等は行えない。
しかも、さまざまな医療機器をネットワークにつなげている現状ではリスクマネジメントできるのは病院のみで、本来の治療行為への負担もかかる。セキュリティの専門部署を置くなどセキュリティの人材配置をいかに促進するかも課題となる。

IPAが実施した今回の調査では、情報セキュリティへの意識と対策は、他の組込み機器と比べ決して進んでいるとは言えない現状がうかがえた。
対策にあたっては、他の組込みシステムにおけるセキュリティ脅威や対策を参考としながら、活用できる技術や情報を共有しつつ、医療機器独自の課題についての取り組みを進めていくことが必要だとしている。
(樋口泰光)


「2013年度 医療機器における情報セキュリティに関する調査」報告書
http://www.ipa.go.jp/security/fy25/reports/medi_sec/index.html

配信広告
配信広告