事例から学ぶ病院経営の落とし穴!医療機器のコンピュータウイルス対策

医療機関では医事会計システムを始め、電子カルテやオーダリングなど診療情報や患者情報を扱うシステムに対してのセキュリティ強化に目を向けがちですが、さまざまな被害事例を見ると、人工呼吸器、麻酔システム、ペースメーカー、MRIなど現場で使われている医療機器がウイルスに感染し、情報漏洩に繋がる事故が現実に発生しています。

医療機器はネットワーク上閉じた世界=閉域網で稼働するものが多いです。実は、こうしたウイルスの危険性が少ないと見られがちな閉域網がセキュリティ上の落とし穴になっているのですが、みなさんの病院は大丈夫でしょうか?

今回編集部ではIPAが報告している「医療機器における 情報セキュリティに関する調査」をまとめました。事故事例や脆弱性を紹介しながら医療機器のウイルスが感染したらどうなるのか?どのように未然に対処すればいいのか等、是非考えながらお読みください。

セキュリティ事故の報告例

■米国ボストンの Beth Israel Deaconess Medical Center での胎児モニタへの感染

米国ボストンの Beth Israel Deaconess Medical Center において、高リスク妊娠の女性向けの胎児モニタ装置がマルウェアに感染され、装置のレスポンスが遅くなったことが報告されている。患者に直接の被害はなかった。Philips製とされている。

■金沢大学附属病院での医療機器のウイルス感染事例

国立大学法人 金沢大学附属病院において、各部門で個別に導入したシステムから、他の部門の機器にウイル ス感染が広がり、診療業務への影響が発生。USBメモリ経由での侵入であった。ウイルス検索・駆除ツール導入後のウイルスチェックでは1000件近くの不正プ ログラムが検出された機器もあったという。

■インターネットからア クセス可能な医療機器 の脆弱性

ICS-CERT Monthly Monitor (※1)で報告された医療機器のリモート監視についての警告。実際 に、インターネットからアクセス可能な医療機器が大 学で見つかり、システム管理者に連絡を取り、是正がなされた。
※1.ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です

脆弱性の報告例

■ペースメーカー/ICDの脆弱性

2008年にMedical Device Security Center(※2)によってペースメーカー /ICD ( Implantable Cardioverter Defibrillator)へハッキングし、電流を流したり、機器を停止させたりすることが可能という研究結果が発表された。
※2. 米医療装置セキュリティセンター

■インスリンポンプへのハッキング

2011年Black Hat にて Jerome Radcliffe氏が発表。糖尿病患者のインスリンポンプに無線機能の脆弱性を利用して侵入し、投与するインスリンの量を外部から操作するなど「致死的な攻撃」を仕掛けることができることを発表。

■医療機器のハードコードされたパスワード

40ベンダ300の医療機器に関連するハードコードされたパスワードについて2013年6月にICS-CERTからAlertが出された。手術用機器や麻酔器、人工呼吸器、薬物注入ポンプ等が関係しており、機器によって遠隔操作が可能とされている。

医療機器セキュリティに関する課題

医療機器に関係する病院、大学等有識者、医療機器ベンダ、及び関連団体へヒアリン グを行い、各機器の特徴を整理し分かりやすく分類し、各分類に当てはまる課題をまとめました。

A群 ⇒ 主に院内で医療従事者 により利用される機器
B群 ⇒ 院外で一般利 用者により利用される機器のうち高度管理医療機器にあたる機器
C群 ⇒ それ以外の主にヘルスケア機器にあたる機器
D群 ⇒ 医療情報システムにあたる機器

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-11-25-16-48-33
図1 医療機器の分類    Copyright 2014  IPA

  • 医療制度面の課題
    ・薬事法の制約により、医療機器にウイルス対策ソフトをインストールすることが難しい。【A・B】
    ・病院がセキュリティ専門部署を置く対策を促進するには、診療情報に加算をするなど、病院側の対策を促進させるようなインセンティブが整っていない 。【A・D】
  • 病院組織面の課題
    ・医療機器製品の知識とセキュリティの知識を兼ね揃えた人がいない。【A・B】
    ・医療現場のセキュリティへの意識が低く、最新のウイルス脅威への危機感がない。【A・D】
    ・日本の医療従事者はベンダ依存であり、病院側に医療機器を管理する感覚や能力、責任意識がないことが問題。【A・D】
  • ネットワーク技術の課題
    ・リモートサービス専用線の管理は各ベンダに任せっきりになっているケースが多 い。【A・D】
    ・ベンダ、医療機関間でリモートメンテナンス用に専用線が引かれている為、複数ベンダが同じ部門ネットワーク上で相乗りしており、セキュリティ上の課題となっている。【A・D】
    ・最近ではネットワーク対応の血圧計や心電計が家庭でも使われるようになってきており、外部ネットワーク へも比較的容易に接続が可能であり、ウイルス感染の脅威のとなりうる。【A・C】

医療機器セキュリティに関する課題

平成28年3月14日に『伊勢志摩サミット等開催に伴う医療機関におけるサイバーセキュリティ対策等 について』の通知が厚生労働省医政局研究開発振興課長より発出されている中から一部抜粋しました。
医療機関のサイバーセキュリティ対策の強化について喚起しています。今一度、院内の医療機器の見直しをしてみてはいかがでしょうか?

対策1. 利用者の識別及び認証

情報システム(医療機器含む)は正当な利用者のみ限定する為に、利用者の識別と認証を行う機能を持たつ事がベストです。認証を行う為には、関係者に対しID・パスワードやICカード、電子証明書、生体認証等、本人の識別・認証ができる手段を用意し、管理する必要があります。

対策2. 情報の区分管理とアクセス権限の管理

情報システム(医療機器含む)の利用の際には、権限の付与を必要最低限に止めること。また、閲覧のみ、追加のみ、編集可能等のように細かな権限の設定を行う機能があればさらにリスクを低減できます。

対策3. アクセスの記録

アクセスログは、セキュリティ事故が発生した際の調査に有効な情報である為、その保護は必須です。従って、アクセスログへのアクセス制限を行い、不当な削除/改ざん/追加等を防止する対策をする必要があります。

対策4. 不正ソフトウェア対策

ネットワークに繋がっていない医療機器でも、USB一本でウイルスに感染する恐れがあります。しかし、薬事法の制約上、医療機器にウイルス対策ソフトをインストールすることは難しいのが現状です。最近は、インストール不要のUSBメモリ型ウイルス検索・駆除ツールを用いて対策を行っている病院が増えてきています。

対策5. ネットワーク上からの不正アクセス

ネットワークからのセキュリティでは、不正アクセスを目的とするソフトウェアの攻撃から保護する為の代表的な手段の一つとしてファイアウォールの導入があります。しかし、年々、不正アクセスの攻撃が複雑化してファイアウォールのみでは防ぐことが難しくなっています。
そこで、よりセキュリティを強化する為、不正な攻撃を検知するシステム(IDS:Intrusion Detection System)の採用も検討する必要があります。また、院内の端末に脆弱性がないか定期的にセキュリティ診断を行い対策を講じておくことも重要です。

詳細についてはこちらをご参照ください。
http://www.fukushihoken.metro.tokyo.jp/joho/soshiki/isei/ian/oshirase/27tuti3.files/280314tuti.pdf

まとめ

いかがでしたでしょうか?

今回の事例の中にもありましたが、医療機器にウイルスが感染すると情報漏洩はもちろん、患者の命を危険に晒してしまう恐れがあります。情報システムだけでなく、医療機器にも目を向けてウイルス対策をする必要がありますね。

プロアスへのお問合せはこちらから

プロアスでは、多数のICTツールや業務効率化システム・サービスなど、病院・クリニック・介護施設の経営のお役に立つラインナップを揃えております。まずは気軽なご相談からご連絡ください。

97 件のコメント

  • silver Sterling value

    […]we like to honor numerous other web websites around the net, even when they aren稚 linked to us, by linking to them. Below are some webpages really worth checking out[…]

  • Google

    Check below, are some absolutely unrelated internet sites to ours, nonetheless, they may be most trustworthy sources that we use.

  • cursos gratis

    […]that will be the finish of this article. Here you値l discover some web-sites that we feel you will appreciate, just click the links over[…]

  • Sales

    […]Wonderful story, reckoned we could combine some unrelated data, nevertheless seriously worth taking a look, whoa did one particular find out about Mid East has got far more problerms as well […]

  • powh3d

    […]that would be the end of this write-up. Right here you値l discover some sites that we consider you値l value, just click the links over[…]

  • PCB Repairs

    […]very couple of internet websites that come about to be detailed below, from our point of view are undoubtedly properly really worth checking out[…]

  • Andrew Wright Maine lawyer

    […]we like to honor a lot of other world wide web internet sites around the web, even when they aren稚 linked to us, by linking to them. Under are some webpages worth checking out[…]

  • simple love spells

    […]although web sites we backlink to beneath are considerably not associated to ours, we feel they’re in fact really worth a go through, so possess a look[…]

  • psychic

    […]check beneath, are some completely unrelated web-sites to ours, nevertheless, they are most trustworthy sources that we use[…]

  • Computer City

    […]very couple of web sites that occur to become comprehensive beneath, from our point of view are undoubtedly well worth checking out[…]

  • Nigeria boards

    […]although internet sites we backlink to beneath are considerably not connected to ours, we really feel they may be really worth a go through, so possess a look[…]

  • gps tracker

    […]just beneath, are various totally not connected internet sites to ours, on the other hand, they may be certainly really worth going over[…]

  • phoenix tile removal

    […]we prefer to honor several other net websites on the internet, even if they aren稚 linked to us, by linking to them. Underneath are some webpages worth checking out[…]

  • resize image

    […]very few sites that come about to become in depth beneath, from our point of view are undoubtedly well really worth checking out[…]

  • exani i

    […]please visit the internet sites we comply with, such as this a single, as it represents our picks from the web[…]

  • golf drivers

    […]just beneath, are several absolutely not connected sites to ours, nevertheless, they’re surely really worth going over[…]

  • sexual health

    […]we prefer to honor lots of other world wide web web-sites around the net, even though they aren稚 linked to us, by linking to them. Under are some webpages really worth checking out[…]

  • Indian hair

    […]although web sites we backlink to beneath are considerably not connected to ours, we feel they’re really really worth a go by, so have a look[…]

  • Litecoin

    […]please visit the websites we adhere to, like this one particular, as it represents our picks in the web[…]

  • fantasy novel

    […]please take a look at the web pages we adhere to, such as this one particular, because it represents our picks from the web[…]

  • pubg shop

    […]here are some hyperlinks to internet sites that we link to for the reason that we assume they’re worth visiting[…]

  • Hydroquinone

    […]that would be the end of this post. Right here you値l come across some web pages that we consider you will value, just click the links over[…]

  • unicorn diy

    […]we like to honor numerous other internet websites around the web, even when they aren稚 linked to us, by linking to them. Below are some webpages worth checking out[…]

  • Toronto Escorts

    […]although websites we backlink to below are considerably not connected to ours, we feel they’re basically worth a go via, so possess a look[…]

  • Womanizer

    […]very couple of internet websites that transpire to be detailed beneath, from our point of view are undoubtedly effectively really worth checking out[…]

  • slovari dalya

    […]Wonderful story, reckoned we could combine a handful of unrelated information, nonetheless really really worth taking a search, whoa did one particular find out about Mid East has got far more problerms at the same time […]

  • コメントを残す

    メールアドレスが公開されることはありません。

    日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)