PhishMeの共同創業者であり最高技術責任者(CTO)を務めるAaron Higbee氏も同じ意見であり、さらに最近のメーカーが新しい医療機器を市場に出すスピードを考えれば、そのペースを維持するにはオープンソースのツールやライブラリを利用することが重要になると指摘している。
多くのメーカーは、社内に製品のリバースエンジニアリングを行ったり、すべての脆弱性を洗い出すことのできる専門のセキュリティチームを持っていないが、Higbee氏は「ソフトウェアやハードウェアを調べる人の目が多くなるほど、安全性は高まる」と考えている。
Black Duck SoftwareのMike Pittenger氏は、「オープンソースかどうかは問題ではない」と付け加える。「問題は、医療機器メーカーの開発チームが、使用しているオープンソースのセキュア化と管理を行えるかどうかだ」
「しかし、自分たちがどのオープンソースコードを使っており、自社アプリケーションのどこでそれが使われているかを把握していなければ、脆弱性が明らかになったときに、コンポーネントのセキュリティを確保することができない」とPittenger氏は続けた。
もう1つの問題は、病院や医療事業者が十分な時間や費用をセキュリティに投じているかだ。Higbee氏は、IT業界で働いてきた20年近くの経験の中で、医療業界がそういった問題について「ほとんどコストをかけていない」ことを知る機会が何度もあったと述べている。
同氏によれば、これはIT経費に医療機器の購入や診察の経費までもが含まれており、その残りからセキュリティ経費が捻出されている(少しでもあるとすれば)ためであるかもしれないという。
しかし、セキュリティの強化を妨げる大きな壁はもう1つある。医療機器を購入すると、サポートとメンテナンス契約がパッケージ化されて付いてくるが、機器に対して契約に含まれていない改変を行うと、保証契約が無効になってしまう。
Higbee氏は、「古いWindows XPで動いている非常に高価な医療機器があったとしよう。このような場合、問題があることを病院が理解していても、保証契約を破棄したくなければ、できることはほとんどない」と説明する。
IoMT業界はまだ生まれたばかりだが、幸運なことに、これらの機器を狙う脅威もやはり生まれたばかりだ。しかし、もしメーカーや医療事業者がセキュリティの問題を掌握し、患者のデータに対するコントロールを維持したいなら、必要なのは投資や教育、取り組みを増やすことだけではない。
IoT市場やスマートデバイスから得た多くの教訓を、IoMTにも生かす必要がある。これは医療機器のセキュリティを向上させるだけでなく、われわれ自身の生命の安全を守ることにもつながる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。