ICTやAI技術の進歩によって多くの医療機器がネットワークに接続され、医療機器メーカーは機器そのものだけでなくシステムを含めて提供するようになりました。こうした医療機器のDXが、診療の質を飛躍的に高めたことは言うまでもありません。しかし一方で、医療機器は日常的なセキュリティインシデントの脅威にさらされるようになりました。こうしたセキュリティインシデントを防ぐために、医療機器メーカーができる対策はあるのでしょうか。本テーマに詳しいNRIセキュアの内橋七海に聞きました。

潜む医療機器へのサイバー攻撃の脅威

医療機器から取得したバイタルデータをパソコンで閲覧し、AIに読み込ませてアドバイスをもらう――。ICTやAI技術を用いた医療機器の活用は、いまや医療機関における日常の光景です。医療機器のDXは近年急速に進み、医療機関では手術支援ロボットやAIを使用した画像診断機器などを積極的に導入するようになりました。私たちが受けられる医療の質は飛躍的に高まり、治療の選択肢もかつてないほど広がっています。

しかしその一方で、医療機器に関するセキュリティインシデントも発生しています。2009年には金沢大学附属病院で、USBメモリ経由でシステムから医療機器へのマルウェア感染が広がりました。海外でも米国ボストンのBeth Israel Deaconess Medical Centerで、高リスク妊娠の女性に向けた胎児モニタ装置にマルウェアが感染。装置のレスポンスが遅くなるというインシデントが発生しています。

ほかにも、患者の体内とつながるインスリンポンプに対して攻撃者が不適切な命令を送ると、患者の体内に注入するインスリンの量を外部から不正に操作できてしまうという脆弱性が発見された事例もありました。医療の選択肢が狭まるだけでなく、最悪の場合は命に関わる事態にもなりかねないのが、医療機器に関するセキュリティインシデントの恐ろしいところです。

さらに医療機器では患者の診療記録や投薬記録など、機密性や完全性（保有する情報が正確であり完全である状態を保持すること）を高く維持することが求められる医療情報が扱われる場合もあります。セキュリティインシデントが起きた時の影響もそれだけ大きく、ほかの分野よりも厳格なプライバシー保護が必要になるということです。加えて、患者に継続的に医療を提供する為にも、セキュリティインシデントによって一時的に医療機器の使用が不可能となる事態は避けなければなりません。こうした医療分野のセキュリティ対策には国も危機感を持っており、医療を重要インフラに該当する分野として指定しています。

最近では厚労省による医療機関向けのガイドラインの改定や、医療機器に関する法規制へのセキュリティ観点の取り込みなどで、サイバー攻撃の多様化・巧妙化とその影響の大きさが取り上げられました。医療分野のセキュリティは業界のみならず、国家レベルで取り組むべき喫緊の課題なのです。

医療機器メーカーがとるべき3つのセキュリティ対策

迫りくるサイバー攻撃の脅威に、医療機器メーカーはどう立ち向かえばいいのでしょうか。対策は大きく3つに分かれます。1つめは、自社製品のセキュリティレベル向上です。この時に重要なのは、1つのリスクに対し複数の対策を組み合わせることです。セキュリティリスクは多面的であり、1つのリスクに対して1つの対策のみでは十分な対応ができません。人的・組織的な対策と技術的な対策、物理的な対策を組み合わせるなど、広い視野と複数の視点をもって対策を実施することが大切です。

2つめは、医療機関とのリスクコミュニケーションです。医療機器を使うのは医療機関であり、自社内のセキュリティ対策のみでは不十分です。医療機関に対して自社のセキュリティ対策を説明するだけでなく、自社でカバーしきれない部分については医療機関の協力をあおぐなどの取り組みが求められます。これによってセキュリティ対策の枠組みが作られ、現在のセキュリティレベルやそれぞれの責任の範囲を明らかにできます。リスクコミュニケーションの内容は、契約書やSLAなどの文書によって明示的に合意すべきだと考えます。いざインシデントが起きた時は、責任の所在を明確にしてスムーズな対応が求められます。

3つめは、継続的なセキュリティ対策活動です。セキュリティ対策は「点」ではなく「線」となってこそ、十分な効果を発揮します。医療機器メーカーと医療機関が定期的にコミュニケーションを取り、セキュリティレベルの確認やシステムのアップデートといった取り組みを続けていくことが大切です。

3つの対策を行うためには、社内の体制づくりが必要不可欠です。セキュリティの担当チームである「PSIRT（ピーサート：Product Security Incident Response Team）」をつくるのは、有効な手段です。チーム内で話し合いを行い、インシデントなどの非常事態時にどう動くかを決めておく必要があります。自社に合った対策を見極めるには、世界各国や国際機関から公表されている医療機器のセキュリティガイダンスも参考になります。2020年に公表されたIMDRF（国際医療機器規制当局フォーラム）によるセキュリティガイダンスは日本の法規制にも取り込まれており、特に注目されています。医療機器メーカーは多くの規格・ガイダンスの中から必要なものを確認し、提供する国や医療機関の規模といった自社の状況を踏まえて対策を考えていく必要があるでしょう。

医療機器メーカーは業界をけん引するセキュリティ対策を

医療機器のDXに伴い、医療機器メーカーは医療の中枢に近い業務を担当するようになっています。従来は医療機関が行っていた業務を、実質的に医療機器が担うケースも増えていくでしょう。医療機器メーカーには医療の継続性を十分に認識し、医療機関とともにセキュリティ対策をけん引していく姿勢が求められています。

近年では国の主導で、全国の医療業界関係者が情報交換や連携を行うための枠組みが作られようとしています。こうした枠組みを利用すれば、医療分野のほかのステークホルダーとの情報交換に加え、製品に脆弱性が見つかった際や、セキュリティインシデント発生時の迅速な質問や連携が可能になるでしょう。ここで大事なことは、必ずしも成功事例ばかりではなく、自社で起きた事故や抱えている課題といった“弱み”も積極的に共有することで、より本質的なセキュリティ対応活動に繋げること。
それが医療分野全体のセキュリティ強化に結びつくはずです。