医療機器のセキュリティ強化へ、世界が動き出す！700の脆弱性に対抗

Last Updated on 2024-02-21 11:19 by 荒木 啓介

WHOの推定によると、医療機器は200万種類に及び、ソフトウェアやワイヤレス接続を使用することでサイバーセキュリティの脅威にさらされている。2023年11月の研究では、世界の国民保健サービスが購入した医療機器の中に約700の脆弱性があり、その半数以上が重大または高度な脆弱性と定義されている。医療機器のセキュリティリスクを軽減するための規制やイニシアチブが進行中である。

2023年に発表された米国の国家サイバーセキュリティ戦略では、エンドユーザーのリスク管理負担を軽減し、サイバースペースを強靭かつ防御可能にするための意思決定を促進することが強調されている。FDAは、市場投入前に医療機器のセキュリティ対策を要求する法的権限を持ち、ANSI/AAMI SW96:2023の新しい標準を支持している。NIST Cybersecurity Framework（NCF）2.0は、医療機器のセキュリティに関連する改善に焦点を当てており、バイデン・ハリス政権はIoTデバイスのサイバーセキュリティラベリングプログラムを発表し、FDAの新しい権限を再確認した。

医療機器のセキュリティ対策には、標準化、IoTセキュリティ、マルチレイヤーのセキュリティ設計の重要性がある。NCSIPやANSI/AAMIの標準では、セキュリティを確保するために複数の方法を使用することが求められている。これらのイニシアチブは既に実装されており、IEEE 2621の認証要件を満たすFDA承認の自動インスリンデリバリーシステムがその例である。

医療機器のセキュリティに関するイニシアチブは今後も進展する見込みであり、標準化、IoTセキュリティ、マルチレイヤーのセキュリティ設計が重要な要素となる。2023年は医療業界のセキュリティにとって重要な年であり、特に医療機器に焦点を当てたイニシアチブが進行した。医療機器のセキュリティ対策には、成熟したプレイブックが存在し、これらのイニシアチブが提唱するマルチレイヤーのセキュリティ設計アプローチの適用に道筋を示している。

【ニュース解説】

医療技術の進歩に伴い、多くの医療機器がソフトウェアやワイヤレス接続を利用するようになりました。これにより、患者の生活を改善する可能性が広がる一方で、サイバーセキュリティの脅威とそれに伴う安全性のリスクが高まっています。世界保健機関（WHO）によると、約200万種類の医療機器が存在し、これらの機器はサイバー攻撃の対象となり得ることが指摘されています。

2023年11月に発表された研究では、世界中の国民保健サービスが購入した医療機器に約700の脆弱性が存在し、その半数以上が「重大」または「高度な」脆弱性と定義されていることが明らかにされました。このような脆弱性は、医療機器がハッカーによって不正に操作されたり、患者の個人情報が漏洩するリスクを高めます。

この問題に対処するため、米国では2023年に国家サイバーセキュリティ戦略が発表され、FDA（米国食品医薬品局）やNIST（国立標準技術研究所）などの機関が医療機器のセキュリティ強化に向けた規制や標準の策定を進めています。これらのイニシアチブは、医療機器のセキュリティを標準化し、IoT（モノのインターネット）セキュリティを強化し、マルチレイヤーの「セキュリティ設計」を推進することを目的としています。

例えば、FDAは市場投入前に医療機器に適切なセキュリティ対策を施すことを要求する法的権限を持ち、ANSI/AAMI SW96:2023標準を支持しています。この標準は、医療機器のライフサイクル全体にわたるセキュリティ管理に特定の要件を提供します。また、NIST Cybersecurity Framework（NCF）2.0は、認証、アイデンティティ管理、サイバーセキュリティリスク管理など、医療機器の脆弱性に対処するための改善に焦点を当てています。

これらのイニシアチブにより、医療機器のセキュリティ対策は徐々に強化されていますが、医療機器のセキュリティを確保するためには、製造業者、医療提供者、患者など、関係者全員の協力が必要です。また、新たな技術の導入や規制の変更に伴い、セキュリティ対策も常に更新される必要があります。長期的には、これらの取り組みが医療機器の安全性と信頼性を高め、患者の生活の質を向上させることが期待されます。

from Curing MedTech’s Cybersecurity Contagion.