医療機器にも情報セキュリティの脅威、IPAが調査報告書を公開胎児モニタへのウイルス感染の事例も… 医療機器ニュース

IPAが、医療機器に対する情報セキュリティの脅威や医療機器業界関係者の取り組み現状などをまとめた調査報告書「2013年度 医療機器における情報セキュリティに関する調査」を公開した。

» 2014年04月16日 12時00分 公開
[西坂真人,MONOist]

 IPA(独立行政法人情報処理推進機構)は2014年4月16日、国内外における医療機器のセキュリティ関連情報を調査した報告書「2013年度 医療機器における情報セキュリティに関する調査」をIPAのWebサイトで公開した。

photo IPAが公開した調査報告書「2013年度 医療機器における情報セキュリティに関する調査」

 昨今の医療機器は、小型化・携帯化や汎用技術の利用が進展していることに加え、一部の医療機器では近距離無線など通信を利用した機能が搭載されるなど、他の組み込み機器と同様の進化を遂げている。IPAでは2006年から、情報家電や自動車などを対象に組み込み機器における情報セキュリティに関する調査に取り組んでいるが、進化した医療機器において情報セキュリティ上の脅威が他の組み込み機器と同様に顕在化する可能性があることから、2013年度は医療機器も対象とした。

 海外では2008年ごろから情報セキュリティ上の脅威が顕在化していることから、調査では、事例として国内外の脅威、医療機器における情報セキュリティへの取り組みを収集。「病院で管理されていた胎児モニタがウイルスに感染しレスポンスが遅くなった」「院内ネットワークに接続された端末がUSBメモリからウイルスに感染し、それが病院内に広がったため、診療業務に影響が出た」といった事例を紹介している。

事例 分類 脅威の種類 現象の概要 場所
胎児モニタへのウイルス感染 実例 マルウェア感染 病院で管理されていた胎児モニタがウイルスに感染しレスポンスが遅くなった。 米国
医療機器へのウイルス感染 実例 マルウェア感染 院内ネットワークに接続された端末がUSBメモリからウイルスに感染し、それが病院内に広がったため、診療業務に影響が出た。 日本
インターネットからアクセス可能な医療機器 実例 設定不備 大学で管理されていた本来はインターネットにつながっていてはならない医療機器にインターネットからアクセス可能なものが見つかった。 米国
変更できないパスワードを持つ医療機器 実例 設定不備 40ベンダー、300種の医療機器のパスワード変更ができない設定になっており、米国機関から警告が出された。 米国
ペースメーカーの脆弱性 研究事例 ハッキング ペースメーカーの脆弱性を突いた攻撃を行うことで、患者情報の取得と機器の誤動作ができた。 米国
インシュリンポンプの脆弱性 研究事例 ハッキング インシュリンポンプの持つ無線機能への攻撃によって、投与されるインシュリン量の設定を変更できた。 米国

医療機器における情報セキュリティの事例

 また今回の調査では、医療機器業界関係者や医療従事者などに対して、医療機器における情報セキュリティへの取り組みの現状と将来予測についてヒアリングを実施。医療従事者側では既に情報セキュリティに関する検討は進められているものの、情報セキュリティに関する脅威の認識・対策への意識にばらつきがあることが分かったという。IPAではその理由について「医療現場では眼前の治療活動が優先され、医療機器や医療システムへのセキュリティ対策にコストを割くことが難しいという事情がある」と分析している。

 IPAでは、医療機器/システムのIT化やネットワークを利用した連携についての技術革新は既に進められているものの、医療機器における情報セキュリティへの意識とその対策は、他の組み込み機器と比べると決して進んでいるとはいえないことが調査によって明らかになったとしている。

 こうした医療機器の情報セキュリティの脅威に対してIPAでは「今後は情報家電や自動車と同様のセキュリティリスクが増加することが考えられる」とし、他の組み込みシステムにおけるセキュリティ脅威や対策を参考に活用できる技術や情報を共有しつつ、医療機器独自の課題についての取り組みを進めていくことが必要と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.