Medical Devices Need Better Cyber Security
2021/0927 CyberSecurityIntelligence — コンピュータサイエンス/エンジニアリング/エレクトロニクスの急速な進歩により、新世代のコネクテッド医療機器が登場し、患者のデータにリアルタイム・アクセスが可能となり、遠隔地での治療などが実現されるようになった。医療機器のサイバー・セキュリティは、テクノロジーの使用方法や、健康情報の保護方法に対して、患者が寄せる信頼を維持するために極めて重要である。
メーカーはテストを繰り返すことで、高い安全性を確保することができるだろうが、ペースメーカーからモニタリング機器に至るまで、接続された機器である IoT のセキュリティは、依然として拡大し続け、変化し続けている。
ミネソタ大学は、医療機器サイバー・セキュリティ・センター (Center for Medical Device Cybersecurity:CMDC) を新設した。このセンターでは、増え続けるサイバーセキュリティの脅威から、医療機器を確実に保護するために、産学官の連携を促進していく。この CMDC は、Boston Scientific/Smiths Medical/ Optum/ Medtronic/Abbott Laboratories などの、米国の医療業界をリードする5社が中心となり設立し、資金を提供する団体である。CMDC の運営委員会は、業界関係者の参加を募っており、今後の2年間で積極的にメンバーを追加していく予定である。創設企業に加えて、今後2年間でメンバーを補強し、業界の代表者を運営委員会に採用していくという。
Optum の CISO である Allison Miller は、「医療機器のサイバー・セキュリティは、技術の使用方法や健康情報の保護について、ユーザーが医療企業に信頼するために、きわめて重要である。学術機関や業界の専門家、そして同業者と協力することで、政策や規制案の策定、最先端の試験を支援し、安全な医療機器の長期的な成功を支援するだけではなく、医療機器に頼って治療を受けている患者を守ることができる」と述べている。
初年度の活動として、同センターは、ラウンドテーブルやハッカソンの開催および、ネットワーキングやトレーニングなどの企画、TLI が今秋開講する医療機器セキュリティのコースの開設、医療機器セキュリティのインターンシップなどを行っていく。
もし、医療デバイスがランサムウェアの被害に遭うと、人命にダイレクトに関わるインシデントになるため、身代金の支払いも待ったなしになります。ただ、あまりにも反発が大きく、各国の法務執行機関も動き出すので、攻撃対象から外すと宣言するランサムウェア・ギャングもいるようです。その一方で、「CISA 警告:重要インフラに深刻な影響をおよぼす BlackBerry QNX の BadAlloc 脆弱性」にあるように、医療機器にも相当数の脆弱性が存在するようです。日本でも、こういう動きが、早く出てくると良いですね。
IoT OT Security News 