ネットワーク接続型医療機器のセキュリティ向上への道のりは、紆余曲折の連続です。
確実に進歩していることは、専門家も同意しています。しかし、歩みは遅く脅威に後れを取っています。一歩前に進むことはなく、二歩遅れています。医療業界が一歩前に踏み出すたびに、脅威の数と複雑さは二歩、あるいはそれ以上に増しています。
特にウェアラブルから“植込み型”へ、点滴ポンプ、高性能インシュリン・ペンまであらゆるものが、病院から離れた地域の居住者や移動が困難な高齢者向けに遠隔操作できるときに、健康と寿命の改善におけるネットワーク接続型機器の価値をめぐる議論はほとんどありません。
しかし、さまざまなセキュリティ・カンファレンスでこれまで何度も言われ現在も実証されているように、これらの機器やシステムを支えるシステムまたはネットワークのサイバーの脆弱性は、悪意のあるハッカーが治療手段を凶器に変えたり、身代金や脅迫に利用する隙を与えました。
これは隠すまでもないことです。この問題は以前から存在しており、広く認識されています。米国議会対策本部による2017年6月の医療業界におけるサイバー・セキュリテの向上に関する報告では、“医療のサイバー・セキュリティは危機的状況にある”と言明しています。
これに対して実質的な対策が取られています。連邦食品医薬品局(FDA)は、2018年4月に医療機器の安全実行計画を公表し、Synopsysは計画作成に参加しました。
明記された重要な目標の中に、“医療機器サイバー・セキュリティに関する市販前ガイダンスを更新して中程度のリスク(医療の運用を妨げ患者の治療を遅らせるランサムウェア・キャンペーンなど)および主要なリスク(リモート攻撃、複数患者攻撃や破壊的攻撃を可能にする脆弱性の悪用など)に対する保護強化がありました。”
3か月後の2018年7月、FDAは、患者用の医療機器メーカーの “合意基準”としてANSI (American National Standards Institute) UL 2900-2-1を採用することを発表しました。
UL(以前はUnderwriters Laboratories)は、独立した第三者評価事務所で、一世紀以上にわたり消費者製品の安全性、または安全性の欠如を認定してきました。
UL 2900-2-1では、とりわけ、“系統立てたペネトレーション・テスト、製品ソースコードの評価、およびソフトウェア部品表の分析”を求めています。
Synopsysのプリンシパル・コンサルタントであるLarry Trowellは、進捗状況は顕著であるとし、「5年前、これらの機器のセキュリティは、考慮されたとしても、多かれ少なかれ結果論でした。現在では、製品が計画段階から進まないうちに、製品の設計段階でエキスパートを招集して潜在的なリスク領域を探しています。
こうして“定義可能な改善”につなげました。」と述べています。
現在でも、発言意欲が対策を凌ぐ場合があります。
FDAの実行計画で提案された対策には、“医療機器における組織的な脆弱性の開示の評価、支援、および裁定”を許可され、場合によっては医療機器のセキュリティ違反を調査できる、CyberMed Safety (Expert) Analysis Board (CYMSAB)と呼ばれる新しい官民パートナーシップの作成が含まれていました。
これは当時、Cory Doctorow氏、ジャーナリスト、ブロガー、著者、活動家、Internet of Things (IoT)のエキスパートなど、多数の賛同者から熱狂的な反応を呼び起こしました。同氏はBoing Boingブログで、FDAが「ついに改善のための対策を講じた(医療機器のセキュリティ)。」と書いています。
しかし、19か月後、CYMSABはありません。FDAの広報担当であるStephanie Caccomo氏は、2019会計年度の予算要求7,000万ドルにこの組織向けの財源を含めていましたが、これまでのところ指定されたのは「FDAがCYMSABを実行に移すには何が必要かを調査するために内部の予備的段階に資金調達するためのわずかな金額にすぎませんでした。現時点において、CYMSABは何も生み出さず運営もしていません。」と述べています。
もちろん、FDAが提案した対策は他にもあります。Caccomo氏は、FDAの「サイバー・セキュリティの取り組みは止まることがなく、このコミュニティに関与する多くのステークホルダーとこれからも対策を拡充し、医療機器に対するサイバー・セキュリティを明らかにし続けます。」と付け加えました。
しかし、ネットワーク接続型医療機器が主なアタックサーフェスであっても、この組織が実行計画全体を実施するために利用できる十分な資金はないように思われます。
デジタル・プラットフォーム・セキュリティ・ベンダーであるIrdetoによる最近の アンケートで、去年1年間で医療機関のIoT機器の82%がサイバー攻撃の標的になっていたことが判明しました。
エキスパートが見る医療機器の“セキュリティの現状” 見解は分かれています。
Threatpost storyには、ラスベガスの最近のENFUSE 2019イベントに触れて、病院や医療センターは概して“セキュリティとなると悪名高い文化の悪さで知られている。”という見解が示されています。
OpenTextのライフサイエンス業界担当ストラテジストであるFerdi Steinmann氏の、高齢化や規制など、“業界のけん引力”は“施設と患者を危険にさらしている”という意見を引用しています。
Trowellは同意し、知り合いの医師が職場で高いセキュリティ・レベルを維持することに関心を示さない理由として、「複雑化が進むと、医療従事者が毎日決断しなければならないことが増えるからです。
評判を呼んだセキュリティ・ポッドキャストに耳を傾けるなど、セキュリティの問題に追いつこうとしているごく少数の医師でさえ、情報を利用するのは職場ではなく、私生活を改善するためだけなのです。」と述べています。
しかし、Washington, D.C.の法律事務所Wiley ReinのパートナーであるMegan L. Brown氏は、“悪名高い”という表現は現実を誇張しているといいます。「病院は困難な実世界と規制環境の中で運営しています。正しいことをしたいと望み、セキュリティに投資していますが、その文化が重視するのは重要なサービスの提供なのです。」と述べています。
同氏はまた、一部のカンファレンスのプレゼンテーションは、話題を呼ぶことを何よりも重視しているとも思っています。「ハッキング産業が次々と登場して問題をつきつけて、カンファレンスでセキュリティについて一般大衆や報道機関を怖がらせるのです。」と述べています。
ハッカー全員を非難しているわけではありません。「過去5年の間に、組織的な開示、脆弱性の取り扱い、HackerOneのようなグループとの協力の容認など、実際のカルチャー・シフトを見てきました。
一部のハッカーは、責任を持って行動しなかったり、控えめな矯正よりも世間の関心に目を向けています。正当な理由で、すべての情報にアクセスできないこともしばしばあります。脆弱性がすべて悪用されるわけでも悪用可能なわけでもないのです。」と述べています。
ULの医療システムの相互運用性およびセキュリティ、チーフ・イノベーション・アーキテクトであるAnura S. Fernando氏は、医療産業がネットワーク接続型機器に平均以上のセキュリティを提供できるのは、まだまだ先であることに同意を示しています。1つの理由として、すべての施設が同様に十分な資金調達を受けているとは限らないため、セキュリティは不均一になる傾向があります。
「多くの病院や医療センターには確固としたセキュリティ方針とプラクティスがあります。しかし、小規模で独自経営の田舎の診療所は、大規模な医療提供ネットワークと同じセキュリティの問題、予算、熟練人材へのアクセス、その他多くの要因に対処する必要があります。」と述べています。
すぐには変わらないという現実もあります。ほとんどの医療機器は、何年もときには数十年間安全に動作するように作られています。結果として、現在使用されているこのような機器の多くはインターネットに接続することなど意図されていませんでした。
つまり、とりわけ、ハードコードされたパスワードの根絶が求められるUL 2900-2-1の規定が主流になるにはかなりの時間がかかります。
Trowellは、今年発売予定の機器は「3~7年ほど前に設計されていました。つまり、最良のシナリオは、次の年に到着する多数の機器は実質的にUL 2900-2-1によって行われた提案で設計されていたことになるのです。」と述べています。
Fernando氏によれば、セキュリティの向上が進んでおり、UL 2900-2-1の採用は、「米国FDA、カナダ保健省、オーストラリアTGAなど世界各地で行われ、メーカーのセキュリティの主張をサポートする客観的なテストに基づく証拠の生成への包括的なアプローチを目指した連携が開始しました。」と述べ、
「革新的な新しい医療技術が患者により速やかに届くようになること」を希望しています。
この間、ほとんどのエキスパートは、ネットワーク接続型機器の患者に対する価値は、サイバー攻撃によるセキュリティ侵害のリスクをはるかにしのぐことに同意しています。Caccomo氏は、これまでのところ、FDAは「医療機器のサイバー・セキュリティ・インシデントと直接関連付けられた患者の被害報告を受け取っていません。」と述べ、
このことで患者が考慮されていないことにはならないと確認しています。同氏によると、この9月の一日がかりの会議“医療機器のサイバー・セキュリティ:患者を力づけるコミュニケーション”には、患者、業界代表者、医療提供者、独立したセキュリティ・リサーチャー、その他の利害関係者が参加しました。患者は「医療機器のサイバー・セキュリティは、患者の安全性と同様、国のセキュリティの問題であると思う、と話してくれました。」と述べました。
しかし、患者は脅威の恐怖からネットワーク接続型機器の使用を止めるべきではないことに専門家は同意しています。Trowellは、「報告された問題の多くは実際のできごとで危険なこともありますが、現実に発生する可能性が低い特定の状況でのみ起きています。例えば、無線で外部のインターフェイスとやりとりできる体内医療機器には、セキュリティの制約が組み込まれています。これは、人体の大部分は水分であるということです。
ほとんどの無線通信では、機器へのアクセス波長は水によって吸収または反射されることから有効な通信範囲はとても狭く、攻撃者は皮膚に直接接触するか、機器と効果的に通信するためにより近づいて接触することが必要になる場合があります。」と述べています。
肝心なことは、直接的なケアに関わる医師などは、セキュリティはBrown氏が“重要なサービスの提供”と呼ぶものの必須要素であり、貧弱なセキュリティによって損なわれる可能性があることを理解する必要があります。
Fernando氏は、「医師や看護師など、医療に関与する教育水準の高い医療従事者でさえ、サイバー・セキュリティの臨床的な意味合いに気付き始めたばかりです。
医療コミュニティは大きく前進していますが、先はまだまだ遠く、道のりはますます長くなっているため、勢いを維持する必要があります。」と述べています。
ケース・スタディ:植込み型医療機器通信プロトコルの再設計