医療機器セキュリティーの現状、サイバーリスクとソリューション
2025年1月21日
.png)
医療機器に関する KPMG のアドバイザリによると、医療機器業界の年間売上高は2030年までに 8,000 億米ドル近くに達すると予測されています。一方で、医療機関向けにおける新たな改革は、患者ケア提供へ新たな可能性をもたらしますが、医療機器が医療提供組織 (HDO) のエコシステムに日々追加される中、ますます相互接続される世界をサイバー攻撃からどのように守ることができるかが課題となっていますという疑問があります。
これらの予測は、生活習慣病がより蔓延し、経済発展によって新興市場の可能性が解き放たれるにつれて、新しい革新的な技術やサービスに対する需要が高まっていることを反映しています。これらの機器は、患者が診療を受ける方法を変えることに間違いありませんが、その安全性とサイバーセキュリティーの新たなリスクをもたらす可能性もあります。
医療機器のサイバーセキュリティーとは何ですか?
医療機器のサイバーセキュリティーとは、HDOが医療用モノのインターネット (IoMT)やその他の接続された医療機器やソフトウェアを不正アクセス、機密データの盗難、患者の安全に対する損害、重要なサービスの中断から保護するために使用するプラクティスとテクノロジーを指します。埋め込み型医療機器、診断機器、病院情報システムなどの医療機器は、インターネットへの接続がますます増えており、サイバー攻撃に対して脆弱になっています。医療機器への攻撃は、保護された医療情報 (PHI) の漏洩につながる可能性があるだけでなく、ケアの提供が妨げられることで患者の安全上の問題を引き起こす可能性もあるため、医療機器のサイバーセキュリティーは重大な懸念事項です。ご存知のように、医療業界は機密性の高い医療情報が膨大にあるため、長い間サイバー攻撃の標的となってきましたが、現在では、高度に接続された医療機器が追加されたことで、より収益性の高い身代金を求めて患者のケアを妨害しようとするサイバー犯罪者の攻撃対象領域が拡大しています。
医療機器にとってサイバーセキュリティーが重要な理由とは?
米国全土の病院には、患者モニター、輸液ポンプ、人工呼吸器、画像診断装置など、生命維持または生命維持を目的とした医療機器が数十万台設置されており、多くの場合、ワイヤレス技術でアクセスできます。これらのデバイスによってもたらされたデジタル変革と相互接続性の向上は、医療に変革をもたらしましたが、HDO はハッキングのリスクにもさらされています。医療機器への攻撃が成功すると、患者に重大な危害が及ぶ可能性があり、PHI への不正アクセス、治療計画の変更、さらには身体的危害が発生することもあります。医療機関向けにおけるサイバーセキュリティーに関するこの Ponemon の調査研究は、この増大する問題をさらに裏付けており、患者の安全とケアに対するコストと影響を概説しています。「回答者の50%が、組織がサプライ チェーンに対する攻撃を受けたと述べています。それらの回答者の70%が、患者ケアが中断されたと述べています。その結果、手順や検査が遅れ、病気の重症度が上昇するなど、悪い結果につながりました (54%)。もう一つの結果は入院期間の延長(51%)であり、回答者の23%は死亡率の上昇があったと述べています。サイバー攻撃は歴史的にみて、財政面から測定されてきましたが、このレポートは、金銭的損失がこれらの標的型攻撃の唯一の影響ではなくなったことを明らかにしています。組織は今や、患者データの機密性、完全性、可用性の保護からサイバー患者の安全へと焦点を広げる必要があります。
サイバーセキュリティーの規制と基準も、医療機器の保護に不可欠なものとなっています。すでに述べたように、医療機器はヘルスケア業界にとって不可欠なツールであり、時には患者の命を救う手段となります。業界の規制と基準を満たすことで、HDOと医療機器メーカーは患者への中断のないケアを保証できます。以下は、業界で最も重要な医療機器の規制と基準の一部です。
- HHS セクション 405(d):保健福祉省は、リスク削減への体系的なアプローチのためのリスクベースのフレームワークを確立するためのサイバーセキュリティー フレームワーク実装ガイドを発表しました。405(d) には、医療環境へのサイバーセキュリティーリスクの削減に役立つコンセンサスに基づく業界主導のガイドライン、ベスト プラクティス、方法論、手順、プロセスに重点を置く既存の取り組みに加えて、医療機器のサイバーセキュリティーに関するより深い一連の考慮事項が含まれています。
- HIPAA: 医療保険の携行性と責任に関する法律 (HIPAA) は、患者の医療情報 (PHI) のセキュリティーとプライバシーに関する厳格な基準を定めた米国連邦法です。HIPAA は医療機器のセキュリティーに明示的に焦点を当てているわけではありませんが、PHI を処理または送信するすべての医療機器に影響を及ぼします。医療機器に保存または処理されるデータを保護するために、適切な管理、物理的、および技術的な保護手段を実装するための要件を設定します。
- 一般データ保護規則:HIPAA と同様に、一般データ保護規則 (GDPR) は欧州連合 (EU) における包括的なプライバシーおよびデータ保護法です。この規則は、個人データを処理する医療機器に関連するセキュリティーとプライバシー慣行に大きな影響を与えます。GDPR の要件を遵守することで、患者のプライバシーを保護し、透明性を促進し、セキュリティーを強化することができます。
- NIS2:ネットワークおよび情報セキュリティー指令 (NIS) は、 EU で事業を展開する企業のサイバーレジリエンスとインシデント対応能力のレベルを高める法的措置を提供することで、NIS1 の制限に対処するためにNIS2 コンプライアンスを確立しました。NIS2 は、医療機器メーカーに対して、全体的なサイバーセキュリティー体制を強化するために、サイバーセキュリティー リスク管理プロセス、報告プロセス、および情報共有プロセスを確立することを要求するため、医療機器メーカーに影響を及ぼします。
参考資料:
経済産業省 EU NIS2司令概要(2023年5月)
https://www.jsima.or.jp/national/EU_NIS2%E6%8C%87%E4%BB%A4%E6%A6%82%E8%A6%81.pdf
- SOCI: 重要インフラのセキュリティー (SOCI)法は、オーストラリアの重要インフラ部門の規制と保護の枠組みを定めています。その目的は、HDO やその他の重要インフラ組織が、あらゆる危険からのリスクを特定、防止、軽減するための総合的かつ積極的なアプローチを確実に取ることです。要件には、重要な資産の登録、サイバーセキュリティーインシデントの報告義務、最近のサイバー攻撃の増加に対抗し、オーストラリアの重要なサービスの完全性を保護するためのリスク管理プログラムの実装が含まれます。
業界の規制と標準は、医療機器の安全性とセキュリティーを確保する上で重要な役割を果たします。適切なセキュリティー対策を講じないと、組織は攻撃、不正アクセス、データ漏洩に対してより脆弱になり、患者の安全が損なわれたり、プライバシーが侵害されたり、さらにはこれらの機器を治療に利用している人に危害が及ぶ可能性があります。標準と規制は複雑で頻繁に更新される可能性がありますが、医療機器のセキュリティー、整合性、安全性を確保するには不可欠です。
次のセクションでは、攻撃によって医療機器が侵害され、上記のような被害が発生する例について概説します。これらの例では、サイバーセキュリティーリスクを予測して対処し、患者とその PHI を保護するために、HDO が強力な医療機器セキュリティー戦略と業界標準および規制への準拠を必要とすることがさらに強調されます。
医療機器に対するサイバー攻撃の例は何ですか?
このビデオでは、クラロテの専門分析チームTeam82 が医療モニタリング システムへの攻撃を実演しています。実演中、Team82 は、ハッカーがバイタル サインを偽造するために患者モニターにアクセスする方法を示しています。患者モニターにリモートでアクセスし、デバイスのロジックにコードを挿入することで、チームはデバイスのバイタル サインの測定値を変更することができました。この種の攻撃とその後の変更は、医師が患者を診断して治療する能力に影響を与えます。この攻撃はシミュレーションですが、ランサムウェア攻撃が組み込みデバイスに及ぼす影響と、侵害から回復するために何が必要かを示しています。チームが強調しているように、医療は重要なインフラストラクチャの中で最も標的となる垂直分野の1つであり、強力な医療機器セキュリティー戦略を導入することがこのインフラストラクチャを保護するために最も重要です。
残念ながら Team82 のデモと重なる実例がアイオワ州デモインで発生し、MercyOne 医療システムに影響を及ぼしました。このランサムウェア攻撃により、複数の医療システムで病院全体の停止が発生し、最も顕著な被害を受けたのは、扁桃腺手術後に治療を受けていた 3 歳児でした。この NBC の記事によると、薬の投与量を自動計算する MercyOne のコンピューター システムが機能しなくなり、研修医が誤って処方された量の 5 倍の量の鎮痛剤を子供に投与してしまいました。幸いなことに、子供は完全に回復しましたが、この攻撃の影響は、医療機器を保護することの重要性に関して医療提供者への警告となるはずです。これらの例でわかるように、医療システムが直面しているサイバー リスクは大幅に増大しており、HDO は患者の安全と医療機器の有効性を確保するために、 医療サイバー セキュリティーに対する積極的なアプローチを必要としています。
医療機器のセキュリティー課題を解決する方法
現在では、医療機器の侵害はプライバシーの懸念をはるかに超え、患者の身体的危害、医療の中断、健康状態への影響を引き起こす可能性があることがわかっています。安全性とセキュリティーの懸念が深刻であることから、コネクテッド医療機器に関する政府規制には有望な進展がいくつかありました。最近、下院と上院の歳出委員会が包括歳出法案で規定を発表しました。この法案では、医療機器を食品医薬品局 (FDA) に提出するベンダーに、市販後の脆弱性を 90 日以内に解決するプロセスや、重大なバグのアウトオブバンド修正など、いくつかのセキュリティー要件を満たすことを義務付けています。この法律は、患者の安全がコネクテッド医療機器のセキュリティーに左右される可能性があることを認めたものであり、医療機器のセキュリティー課題を解決するための正しい方向への一歩です。
政府の規制やポリシーに準拠し、医療機器のセキュリティー課題にさらに取り組むために、HDO は Claroty などのサイバー フィジカル システム セキュリティーベンダーと提携して、IoMT エコシステム全体の可視性を高め、リスクを評価および軽減し、脅威を検出して対応し、将来の侵害を防ぐことができます。ClarotyのxDome for Healthcareは、医療機器ベンダーやモデル全体にわたる独自のデバイス通信プロトコルと臨床ワークフローを深く理解しており、HDO に比類のない可視性を提供します。また、臨床ドメインの専門知識も備えており、意図されたワークフローの臨床範囲外のアクティビティを検出し、非一般的なアラートを生成し、誤検知を最小限に抑えます。高度な検出機能により、HDO はデバイスが通信できる相手と通信できない相手、およびその条件を正確に把握できるため、リスク評価から推測する必要がなくなります。最後に、ClarotyのxDome for Healthcare は、臨床コンテキストでの正確なデバイス識別に基づく予防手法で HDO の医療機器セキュリティー戦略を強化し、マイクロセグメンテーション、セキュリティーポリシー、および VLAN 割り当てを成功させます。
結局のところ、医療機器に対するサイバー攻撃の影響は、ほとんどの業界で見られる影響とは異なります。この記事でわかったように、医療における攻撃の影響は、組織の財務台帳への打撃よりも深刻であり、死亡率の上昇、健康上の合併症、生活の質の低下として徐々に測定されています。幸いなことに、ますますつながる世界をサイバー攻撃からどのように保護するかという質問に対する答えがあります。医療機器のサイバーセキュリティーに関連する法律や規制の採用に関してより警戒を強め、医療のサイバーセキュリティーを専門とし、医療機器のセキュリティーには臨床の専門知識が必要であることを理解しているベンダーと提携することです。
◆クラロティー公式製品ページはこちらから
https://claroty.com/ja#product
◆クラロティー ニュースレタートップページに戻る
https://claroty-jp-newsroom.prezly.com/
◆ご相談やお問い合わせは、下記よりお願いします。
https://claroty.com/ja/request-a-demo