SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

シマンテックAPACのCTOが警鐘「医療データは不変。だから金になる」


 近年、医療業界を標的としたサイバー攻撃が増加している。2018年7月に発生したシンガポールの医療機関に対するサイバー攻撃では、首相含む150万人の医療情報が流出した。攻撃者は何を目的に攻撃を仕掛けてくるのか。米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏に話を聞いた。

 近年、医療業界を標的としたサイバー攻撃が増加している。2018年7月に発生したシンガポールの医療機関に対するサイバー攻撃では、首相を含む150万人の医療情報が流出した。攻撃者は何を目的に攻撃を仕掛けてくるのか。米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏に話を聞いた。

 米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏
米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務める
ニック・サビデス(Nick Savvides)氏

 コネクテッドカーやスマートシティにはじまり、冷蔵庫やスピーカーまで、あらゆるモノがインターネットにつながるIoT(Internet of Things)時代。今、多くの企業は5G(第5世代移動通信システム)の登場を見据え、さまざまな新サービスの開発に取り組んでいる。

 IoTや5Gの登場で人々の生活は便利になる反面、IoTデバイスを狙ったサイバー攻撃の脅威も増大している。サビデス氏は、「中でも医療機器を狙った攻撃は、欧州、アジア地域、北米で急増している。問題なのは、医療現場において、サイバー攻撃の脅威が十分に理解されていないことだ」と指摘する。

 同氏が「医療業界ならではの課題」と指摘するのは、ネットワークの複雑性だ。一般的なITシステムのネットワークとは異なり、医療業界では、さまざまなデバイスが複雑に相互接続し、患者の健康にかんする個人情報をやり取している。

 「たとえばオーストラリアの場合、病院が保存する患者の電子カルテ情報は、担当医師や看護師、薬剤師、手術を担当する医師などで共有する。また、患者が加入している保険会社でも、その一部を共有することもある。しかし、データを管理するシステムは、各機関で異なるケースがほとんどだ。データが分散して管理されることは、それだけ攻撃ポイントが増加することを意味する」(サビデス氏)

 1つの病院で利用されるデバイスは、医療関係者が利用するパソコンやタブレットをはじめ、MRI(Magnetic Resonance Imaging)装置などのほか、患者が装着するモニタリング機器など多岐に渡る。そして、個々のデバイスに備わるセキュリティ機能の強度はバラバラだ。

 さらに、こうしたデバイスは脆弱性が発見されても、すぐに修正プログラム(セキュリティパッチ)を適用したり、ファームウェアをバージョンアップしたりはできない。サビデス氏によると「病院の、複雑かつ重要な情報を扱っているネットワークの中に、既知の脆弱性を修正していないデバイス(ファームウェア)が混在しているのが現状だ」という。

 デバイスの相互接続性を考えたとき、セキュリティレベルが異なるデバイスの存在は、ネットワークにとって大きなリスクとなる。今後、歩数計やカロリー消費などを測定できる安価な個人用ヘルスケア・ウェアラブルデバイスがインターネットを介して病院ネットワークに接続されるようなことになれば、さらに脅威は増す。

 さらにサビデス氏が「今後の攻撃対象となりうる」と指摘するのが、遠隔医療システムだ。

10月にUAEドバイで開催された「GITEX Technology Week 2018」ではトルコのヘルスケア企業であるNoya Enterpriseが遠隔手術のデモンストレーションを披露していた。もし、ロボットアームがハッキングによって誤作動を起こしたら(当たり前だが)人命に関わる
10月にUAEドバイで開催された「GITEX Technology Week 2018」ではトルコのヘルスケア企業であるNoya Enterpriseが遠隔手術のデモンストレーションを披露していた。
もし、ロボットアームがハッキングによって誤作動を起こしたら(当たり前だが)人命に関わる

 遠隔地にいる患者に対し、インターネットを介して画像診断や専門医による問診といった医療行為はすでに行われてきた。さらに5Gの登場で今後は「遠隔にある医療機器をネットワークを介して操作し、治療する」といったことが現実味を帯びている。しかし、そうした医療機器(デバイス)に対するセキュリティ機能の検証は十分とは言いがたい。

 「もともと医療デバイスはインターネットに接続されることを前提に設計されていない。『セキュリティ機能を搭載することで、医療機器としての機能が制限されるのであれば、本末転倒だ』との思いが強い。極端に言えば、緊急の利用を要する投薬ポンプなどの場合、パスワードを入れないと利用できないようなものは使えないのだ」(サビデス氏)

 医療系デバイスの中には緊急時の利用に備え、あえてパスワードを設定しなかったり、だれでも利用できる仕様になっていたりする機器もある。サビデス氏は「遠隔医療システムが普及するようになれば、当然こうした“ジレンマ”も課題となる」との見解を示した。

次のページ
パッチ更新は誰がするのか

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

鈴木恭子(スズキキョウコ)

ITジャーナリスト。
週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11442 2018/12/20 16:32

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング