人命を預かる医療現場のセキュリティ強化を目指す医療機器サイバーセキュリティ協議会

藤本京子

2021-06-14 07:00

 現実の世界とサイバー空間を融合させ、よりスマートで利便性の高い社会を目指す「Society 5.0」。あらゆるものがつながる世界を目指すに当たり、課題となるのがそこに潜むセキュリティリスクだ。特に人の命を預かる医療機関では、セキュリティ対策が重大な課題となっている。

 「医療情報がデジタル化され流通する中、患者データを金銭化するビジネスが横行している。医療機器データや電子カルテのデータを人質に取って身代金を要求するランサムウェア攻撃も年々増加しているのが現状だ」と、群馬大学医学部附属病院 システム統合センター 副センター長・准教授の鳥飼幸太氏は語る。

群馬大学医学部附属病院 システム統合センター 副センター長・准教授の鳥飼幸太氏
群馬大学医学部附属病院 システム統合センター 副センター長・准教授の鳥飼幸太氏

 医療データは搾取されることも問題だが、データ改ざんの脅威にも直面している。鳥飼氏は、「データが改ざんされると把握することさえ困難だ。しかも、改ざんされればデータからの学習が成り立たなくなる。医療で永続化したデータを取り扱うには、情報の信頼性を担保しておくことが重要だ」と話す。

 狙われているのは患者のデータだけではない。治療を伴う医療機器が悪用されると、人命が危機にさらされることさえあり得るのだ。「例えば、CT装置の照射線量を1桁増やすだけで死につながる。医療のデジタル化が進んでいるが、適切なセキュリティ対策が施されなければ、金銭の搾取だけでなく、より深刻な犯罪につながる可能性がある」と鳥飼氏は警告する。

 2020年9月には、ドイツのデュッセルドルフ大学病院でランサムウェアの被害が発生。システムが停止したため、同病院で救命処置を受ける予定だった女性患者を受け入れることができず、約30km離れた別の病院に搬送されたその女性は死亡した。「医療機関でのセキュリティ対策は人命に関わるため、より深刻に捉えなくてはならない」と鳥飼氏は主張している。

 2019年に医療機器サイバーセキュリティ協議会が発足し、同業界のセキュリティ向上に向けた啓発活動に取り組んでいるのもそのためだ。同協議会は、医療機器メーカーやセキュリティベンダー、医療機関など26団体が有志で参加、医療インシデントの共有やセキュリティ向上のための訓練と教育などを行っている。

インシデント対応ボードゲームによる訓練

 5月には、医療業界で起こり得るサイバー攻撃を想定したオンライン訓練を実施した。訓練にはトレンドマイクロが2016年から提供しているインシデント対応ボードゲームを活用。2020年8月に発表した同ゲームの医療版をカスタマイズし、医療機器メーカーを対象に訓練を行った。

 訓練では、2グループに分かれて同じ課題に取り組んだ。各グループは、サイバー攻撃の第一報を受け最初に何をすべきか、限られた情報の中で議論しながら対応を判断する。インシデントの影響を判断し、それぞれの立場から利害を調整、アクションプランを決めていくことになるが、そこでは複数のシナリオを構築する力も試される。

オンラインで開催されたボードゲームの様子
オンラインで開催されたボードゲームの様子

 各グループが取った対策は異なるものだったが、このゲームに正解や勝ち負けはない。「立場の異なるさまざまな人に対し、それぞれの信頼が担保できる対策が取れれば、それがベストに近い解答となるだろう。時間が足りないという感想もあったが、実際にトラブルが発生すると一刻一秒を争う対応が求められる。人的リソースと時間が限られている訓練で最善策を導き出すことは困難だが、その際に検討する優先順位なども訓練の一環だ」と鳥飼氏は言う。

 医療機器サイバーセキュリティ協議会としては、このような訓練をはじめとするさまざまな活動を通じ、セキュリティにおける業界連携の必要性を啓発したい考えだ。医療現場で適切なセキュリティ対策を施し、データの信頼性と機密性を担保するには、「一組織や一法人だけで取り組むには限界がある」と鳥飼氏。業界全体を巻き込む活動で、医療現場におけるより強固なセキュリティ対策につなげたいとしている。

 ただし、医療現場に身を置く鳥飼氏は、医療費抑制に向けた政府の方針がある一方で、「医療機器は複雑化かつ高度化し、診療サービスのレベルも高まっている。そこにセキュリティ対策も必要となるため、医療DX(デジタル変革)にはコストがかかる」との実情も明かし、新たな支援策が必要であることも強調した。

 トレンドマイクロ 業種営業推進部 シニアマネージャーの松山征嗣氏は、「医療の現場からは、医療機器のセキュリティ対応に苦労しているとの声が上がっている。その改善に向け、さまざまな立場の関係者が議論に参加することには大きな意味がある。医療機器のレガシー化が進んで手に負えなくなり、そこでマルウェアが感染するようなトラブルを放置するわけにはいかない」と述べている。

 また、オリンパス 情報セキュリティ統括 グローバル、フェロー セキュリティエバンジェリストの鈴木克明氏は、「医療現場のセキュリティの重要性を認識してもらい、そこで何をすべきか議論を進めたい。今回実施した訓練も第2段を検討しており、最終的によりセキュリティレベルを高められるよう、今後も活動を続けたい」としている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]