Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

シマンテックAPACのCTOが警鐘「医療データは不変。だから金になる」

2018/11/27 07:00

 近年、医療業界を標的としたサイバー攻撃が増加している。018年7月に発生したシンガポールの医療機関に対するサイバー攻撃では、首相含む150万人の医療情報が流出した。攻撃者は何を目的に攻撃を仕掛けてくるのか。米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏に話を聞いた。

 近年、医療業界を標的としたサイバー攻撃が増加している。2018年7月に発生したシンガポールの医療機関に対するサイバー攻撃では、首相を含む150万人の医療情報が流出した。攻撃者は何を目的に攻撃を仕掛けてくるのか。米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏に話を聞いた。

 米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏
米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務める
ニック・サビデス(Nick Savvides)氏

 コネクテッドカーやスマートシティにはじまり、冷蔵庫やスピーカーまで、あらゆるモノがインターネットにつながるIoT(Internet of Things)時代。今、多くの企業は5G(第5世代移動通信システム)の登場を見据え、さまざまな新サービスの開発に取り組んでいる。

 IoTや5Gの登場で人々の生活は便利になる反面、IoTデバイスを狙ったサイバー攻撃の脅威も増大している。サビデス氏は、「中でも医療機器を狙った攻撃は、欧州、アジア地域、北米で急増している。問題なのは、医療現場において、サイバー攻撃の脅威が十分に理解されていないことだ」と指摘する。

 同氏が「医療業界ならではの課題」と指摘するのは、ネットワークの複雑性だ。一般的なITシステムのネットワークとは異なり、医療業界では、さまざまなデバイスが複雑に相互接続し、患者の健康にかんする個人情報をやり取している。

 「たとえばオーストラリアの場合、病院が保存する患者の電子カルテ情報は、担当医師や看護師、薬剤師、手術を担当する医師などで共有する。また、患者が加入している保険会社でも、その一部を共有することもある。しかし、データを管理するシステムは、各機関で異なるケースがほとんどだ。データが分散して管理されることは、それだけ攻撃ポイントが増加することを意味する」(サビデス氏)

 1つの病院で利用されるデバイスは、医療関係者が利用するパソコンやタブレットをはじめ、MRI(Magnetic Resonance Imaging)装置などのほか、患者が装着するモニタリング機器など多岐に渡る。そして、個々のデバイスに備わるセキュリティ機能の強度はバラバラだ。

 さらに、こうしたデバイスは脆弱性が発見されても、すぐに修正プログラム(セキュリティパッチ)を適用したり、ファームウェアをバージョンアップしたりはできない。サビデス氏によると「病院の、複雑かつ重要な情報を扱っているネットワークの中に、既知の脆弱性を修正していないデバイス(ファームウェア)が混在しているのが現状だ」という。

 デバイスの相互接続性を考えたとき、セキュリティレベルが異なるデバイスの存在は、ネットワークにとって大きなリスクとなる。今後、歩数計やカロリー消費などを測定できる安価な個人用ヘルスケア・ウェアラブルデバイスがインターネットを介して病院ネットワークに接続されるようなことになれば、さらに脅威は増す。

 さらにサビデス氏が「今後の攻撃対象となりうる」と指摘するのが、遠隔医療システムだ。

10月にUAEドバイで開催された「GITEX Technology Week 2018」ではトルコのヘルスケア企業であるNoya Enterpriseが遠隔手術のデモンストレーションを披露していた。もし、ロボットアームがハッキングによって誤作動を起こしたら(当たり前だが)人命に関わる
10月にUAEドバイで開催された「GITEX Technology Week 2018」ではトルコのヘルスケア企業であるNoya Enterpriseが遠隔手術のデモンストレーションを披露していた。
もし、ロボットアームがハッキングによって誤作動を起こしたら(当たり前だが)人命に関わる

 遠隔地にいる患者に対し、インターネットを介して画像診断や専門医による問診といった医療行為はすでに行われてきた。さらに5Gの登場で今後は「遠隔にある医療機器をネットワークを介して操作し、治療する」といったことが現実味を帯びている。しかし、そうした医療機器(デバイス)に対するセキュリティ機能の検証は十分とは言いがたい。

 「もともと医療デバイスはインターネットに接続されることを前提に設計されていない。『セキュリティ機能を搭載することで、医療機器としての機能が制限されるのであれば、本末転倒だ』との思いが強い。極端に言えば、緊急の利用を要する投薬ポンプなどの場合、パスワードを入れないと利用できないようなものは使えないのだ」(サビデス氏)

 医療系デバイスの中には緊急時の利用に備え、あえてパスワードを設定しなかったり、だれでも利用できる仕様になっていたりする機器もある。サビデス氏は「遠隔医療システムが普及するようになれば、当然こうした“ジレンマ”も課題となる」との見解を示した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5