多様な医療機器がネットワークにつながると共に、医療機関のITシステムにさまざまなセキュリティ上の問題が生じています。機器内部のソフトウェアに潜む脆弱性を突かれることにより、機器の機能が乗っ取られたり、機器を踏み台にすることにより、病院のシステムへウィルスが感染した事例などが数多く報告されています。
各国の医療機器の認証を所管する役所においても、医療機器のサイバーセキュリティ対策について、具体的な要求が提示されるようになってきました。主要な市場において医療機器を販売するにあたりサイバーセキュリティの対策は必要不可欠です。
医療機器の特性を考慮したセキュリティ
一般的なオフィスで使われるPCやサーバーなどのIT分野や、コンシューマー用家電、IoT機器等の分野と、医療機器分野では、セキュリティの要求事項が大きく変わってきます。
セキュリティとは何かを保護するための技術です。例えばホームセキュリティであれば、個人の財産、生命の安全などが保護の対象となります。
医療機器の場合は何が要求されるのでしょうか。重要な患者さんデータや、個人情報、重要機能がIDと強固なパスワードなどの認証手段によって保護されていること(Confidentiality:機密性)も重要ですが、それ以上に医療機器としての機能が悪意のある攻撃や脆弱性によって失われないこと(Availability;可用性)の重要度が相対的に高いケースを念頭に置く必要があります。また各国の法規制なども十分に理解したうえで、必要なテストを漏れなく実施する必要もあります。
テュフ ラインランド ジャパンは、医療機器の開発現場と、その使われ方を熟知したメディカルチームと、最新のサイバーセキュリティ技術に精通したチームの両方を有することにより、医療機器の特性を十分に理解したサービスの提供が可能になりました。
医療機器のためのサイバーセキュリティテスト
医療機器のサイバーセキュリティ対策をするにあたって、一番重要なのはどのような脆弱性が機器に存在しており、それらを悪用されるとどのような問題が起きる可能性があるか、リスク分析を行うことです。
これは人間でいうと健康診断を受けるようなものであり、身体のどこに異常があるのかわからなければ、治療方針を立てられないのと同じです。サイバーセキュリティテストサービスでは医療機器のハード、ソフトウェアに潜む脆弱性を、サイバーセキュリティの専門家がテストします。
テスト実施前には、機器のOS、プログラミング言語、稼働中のサービス、外部接続端子の種類等を確認し、適切なテストプランを作成します。テストでは下記のような内容をカバーします。
- ペンテスト
ハッカーがよく行う攻撃手法を活用し、システムに侵入を試み、
ソフトウェアの不具合、危険な設定、脆弱性などがないか検証します - ファズテスト
意図的に本来想定されていないデータやネットワークトラフィックを
機器に流しこむ手法で、セキュリティ上の問題点を洗い出します - 脆弱性スキャン
NVD(National Vulnerability Database)等を参照し、システム構築に
使用されているソフトウェア・ハードウェアに脆弱性がないか分析します - ソースコードレビュー
ソースコードの査読を行い、セキュリティ上危険・または推奨されない
プログラミング手法が用いられていないかレビューを行います
テュフ ラインランドは、医療機器の特性や法規制を考慮したサイバーセキュリティ対策の提供を通じて、安心・安全な医療の実現に貢献します。
事例紹介
このたび、株式会社トーメーコーポレーションから医療機器のサイバーセキュリティテストサービスのご依頼をいただきました。同社の国際部 国際規格申請課 松下祐子様、技術部 開発設計課 浅野一雄様に協力いただき、本サービスが必要になった背景、ご依頼いただいた経緯、またその感想などをインタビューさせていただきました。
【インタビュー動画】(2分16秒)医療機器サイバーセキュリティテストサービス活用事例:株式会社トーメーコーポレーション
株式会社トーメーコーポレーション 国際部 国際規格申請課 松下祐子様
関連情報:
■医療機器のサイバーセキュリティ対策~「医療機器・ヘルスケアにおけるICT技術開発と規制対応」(株式会社情報機構発行)に寄稿 [Online News]
■医療機器のサイバーセキュリティ サービス紹介
■医療機器向けサイバーセキュリティテスト対策 10分で完全解説 無料オンデマンドセミナーを公開 [セミナー]
■医療機器のサイバーセキュリティ テストサービスを開始 [Online News]
お気軽にお問い合わせください。