パロアルトネットワークスは、医療機器向けのゼロトラストセキュリティソリューションを発表した。
医療提供事業者は診断監視システム、救急車設備、手術ロボットなどのデジタルデバイスを使用して患者ケアを改善しており、これら機器のセキュリティはその本来の機能と同様に重要となっている。
同社ネットワーク セキュリティ担当 シニアバイスプレジデントであるアナンド・オズワル氏は医療系IoT機器のセキュリティについて次のように述べている。
「医療業界におけるコネクテッドデバイスの急増は多くのメリットをもたらしますが、これらデバイスの保護は不十分であることが多いです。当社インテリジェンスリサーチチームのUnit 42によると、病院や医療機関のネットワークで調査されたスマート輸液ポンプの75%に既知のセキュリティ問題がありました。セキュリティデバイスはサイバー攻撃者にとって魅力的な標的となり、患者のデータを侵害したり、最終的に患者を危険にさらす可能性もあります」
今回提供するIoTセキュリティとしては、以下の機能が利用可能としている。
自動化されたセキュリティ対応によるデバイスのルール作成
デバイスの異常な振る舞いを監視し、適切な対応を自動的に起動するルールを簡単に作成可能。通常は少量のデータしか送信しない医療機器が予期せず大量の回線容量を使用し始めた場合、その機器をインターネットから切断してセキュリティ チームに警告することが可能。
ゼロトラストポリシーの推奨提案と適用の自動化
同社の次世代ファイアウォールやサポートされているネットワーク制御技術を使用し、医療機器に推奨される最小権限アクセスポリシーをワンクリックで適用する。これにより、エラーが発生しやすく時間のかかる手動ポリシー作成が不要となり、同一プロファイルを使用するデバイス群への一斉適用が簡単に行えるとしている。
デバイス脆弱性とリスク状況の理解
各医療機器のソフトウェア部品表 (SBOM) にアクセスし、それらをCVE (Common Vulnerability Exposures) とマッピング(対応付け)する。このマッピングは、医療機器で使用されるソフトウェアライブラリと関連する脆弱性を識別するのに役立つという。製品寿命、リコール通知、デフォルトのパスワードアラート、不正な外部のウェブサイト通信など、各デバイスのリスク状況を即座に把握可能となっている。
コンプライアンスの向上
医療機器の脆弱性、パッチの状態、セキュリティ設定を簡単に把握できます。また、HIPAA (米国の医療保険の携行性と責任に関する法律)、GDPR (EUの一般データ保護規則)、それらに準ずる法律や規制などのルールやガイドラインに沿ってデバイスをコンプライアンス遵守させるように推奨事項を得ることができるとしている。
ネットワークセグメンテーションの確認
接続デバイスの全体マップを可視化し、各デバイスが指定されたネットワークセグメントに配置されていることを確認します。ネットワークセグメンテーションを適切化することで、許可されたシステムとのみデバイス通信可能になるとのことだ。
運用の簡素化
二つの異なるダッシュボードにより、IT部門と医用生体工学部門はそれぞれの役割に応じた重要な情報を確認可能。 AIMS(麻酔情報管理システム)やEpic Systems(電子カルテ)などの既存の医療情報管理システムとの連携により、ワークフローの自動化を支援する。
【関連記事】
・パロアルトネットワークス、8月23日よりAWS向け次世代ファイアウォールを日本で提供開始
・ランサムウェアによる被害額は上昇傾向 パロアルトネットワークスが脅威レポートを公開
・JX金属、パロアルトネットワークスを統合セキュリティプラットフォームとして採用
