人命を預かる業種で頼りになる、医療用 IoT Security

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) Français (フランス語) Deutsch (ドイツ語) 한국어 (韓国語) Español (スペイン語)

医療分野のニーズに特化。ゼロ トラストを採用した医療向けIoTセキュリティで、あらゆるコネクテッド デバイスを保護。

コネクテッド医療機器は医療に革命をもたらしました。その背景には、診断のスピードと精度の改善によるペイシェント エクスペリエンスの向上、自動化を通じた運用コストの削減と効率化、総合的な治療効果の改善があります。医療用や業務用のコネクテッドIoTデバイスの用途は患者モニタリングからオフィス システムまで多岐にわたりますが、攻撃対象領域を拡大させる上、攻撃者が病院ネットワークへの侵入に利用する防御上の急所でもあります。

医療分野は絶えず侵害を受けている業種の1つで、過去12年(2010年～2022年)の平均侵害コストがどの業種よりも高いという調査結果が存在します。コネクテッド医療機器は攻撃者にとって魅力的な標的です。なぜなら、機密データである個人医療情報(PHI)が保存されているため、病院をランサムウェアの人質にすることや、価値あるデータを盗むことが可能だからです。

パロアルトネットワークスのUnit 42脅威リサーチ チームの調査から、医療機器には重大な脆弱性が存在し、病院ネットワークの一番の弱点になっていることが判明しています。

• 調査した輸液ポンプの75%は脆弱性が1件以上存在するか、セキュリティ アラートを1件以上発した。
• X線撮影装置、MRI、CTスキャナーなどのイメージング装置は特に脆弱。X線撮影装置の51%は深刻度「高」の脆弱性(CVE-2019-11687)に無防備。
• 一般的なイメージング装置の20%はサポート終了バージョンのWindowsを利用している。
• CTスキャナーの44%とMRI装置の31%はCVEで深刻度「高」の脆弱性に無防備。

デバイスと脆弱性の量は氷山の一角にすぎません。最近のサイバー攻撃、例えば、CommonSpirit傘下のCHI St. Joseph Hospital (米国、レキシントン)の事例、CHSF病院(フランス、パリ)の事例、AIMS病院(インド、デリー)の事例から、コネクテッド医療機器のセキュリティ対策は非常に困難であることが実証されています。また、2022年10月には、医療機関と公共部門を狙ってランサムウェア攻撃とデータ恐喝を行うサイバー攻撃グループに警戒するようCISAが医療機関に勧告を行いました。このグループはネットワーク上のデータベース システム、イメージング システム、診断システムへの不正アクセスを特に重視しています。

複数の理由から、こうした最新医療機器のセキュリティ対策は困難です:

• 管理対象外のコネクテッド医療デバイスを可視化できないため、真の攻撃対象領域を把握できない。
• デバイスのコンテキスト情報が不足しているため、脆弱性を把握できず、未知の脅威に対して病院が無防備な状態にある。
• 旧来のセキュリティ アーキテクチャ(間違いが起こりやすい手作業でセキュリティ ポリシーを作成し、フラットなネットワークを使用するアーキテクチャ)では、HIPAAなどの規制要件の遵守が困難になる場合がある
• 複数のポイント セキュリティ製品の管理によって業務が複雑化し、セキュリティのギャップが生じる

デジタル変革を進めることで、患者データ プライバシーの確保と規制準拠を実現しながら、治療効果を改善できます。この取り組みを支援できる包括的なゼロ トラスト サイバーセキュリティ ソリューションが医療機関には必要です。  ゼロ トラストはサイバーセキュリティ戦略の一種で、デジタルなやり取りのあらゆる段階で継続的な検証を行い暗黙の信頼を排除するものです。「決して信頼せず、常に検証する」という原則を土台とし、現代のデジタル医療環境を保護できるように設計されています。この原則に基づいて、最小権限アクセス制御と最小権限ポリシーを適用し、デバイス動作の監視と信頼の検証を継続的に実施することで、ゼロデイ攻撃をブロックするのです。

医療関連のサイバー脅威にゼロ トラストで対抗する医療用 IoT セキュリティ

パロアルトネットワークスが公開したMedical IoT Securityは実績ある既存のIoTセキュリティ テクノロジを基に構築されており、ゼロ トラスト セキュリティ アプローチと機械学習(ML)を利用しています。その目的は医療機器に特化した設計のIoTセキュリティ製品を医療機関に提供することです。本ソリューションは全デバイスを迅速に検出して評価する能力を持つ上、最小権限アクセスの適用とセグメンテーションを簡単に行えます。これにより、運用を簡素化しながら既知と未知の脅威を阻止できるのです。その他にも、以下に示すセキュリティの改善と脆弱性の削減を実現できます:

• ネットワーク セグメンテーションの検証: コネクテッド デバイスの全配置状況を可視化し、各デバイスが指定されたネットワーク セグメントに配置されるようにします。適切なネットワーク セグメンテーションを行うことで、デバイスの通信相手を承認済みのシステムに限定することが可能です。
• ルールに基づく自動セキュリティ レスポンス: デバイスの異常動作を監視して適切なレスポンスを自動起動するポリシー ルールを作成できます。例えば、通常は夜間に少量のデータを送信するだけの医療機器が突然大量の帯域幅を消費し始めた場合に、事前定義したルールに基づいて自動的に機器のインターネット接続を遮断し、セキュリティ チームに警告することが可能です。
• ゼロ トラストなベストプラクティス ポリシーの作成と適用を自動化: 搭載されたポリシー適用テクノロジを利用して、推奨される最小権限アクセス ポリシーをワンクリックでデバイスに適用できます。これにより、間違いが起こりやすく時間のかかる手作業のポリシー作成が不要になる上、デバイスが増えた場合も同じポリシーを簡単に適用できます。
• デバイスの脆弱性とリスク状況を把握: 各デバイスのリスク状況を即座に把握できます(例: サポート終了状況、リコール通知、デフォルト パスワードの警告、外部Webサイトとの不正な通信など)。また、各医療機器のソフトウェア部品表(SBOM)にアクセスして共通脆弱性識別子(CVE)との対応付けを行う機能は、医療機器に使用されているソフトウェア ライブラリと関連する脆弱性の特定に役立ちます。
• コンプライアンスの改善: 医療機器の脆弱性、パッチ状況、セキュリティ設定を簡単に把握できます。その上で、HIPAA (医療保険の相互運用性と説明責任に関する法律)やGDPR (一般データ保護規則)などのルールとガイドラインにデバイスを準拠させるための推奨事項を取得できます。
• 運用の簡素化: 2種類のダッシュボードによって、ITチームと生体医工学チームがそれぞれの業務に不可欠な情報を確認できます。また、ワークフロー自動化に役立つ、既存の医療情報管理システム(例: AIMSやEpic Systems)との統合機能も備えます。
• データ保管先の要件に対応: 米国、ドイツ、シンガポール、日本、オーストラリアのお客様はMedical IoT Securityを利用することで、ローカル クラウドでホスティングされるIoT Securityを簡単に導入できます。Medical IoT Securityサービスには複数のリージョンが用意されているため、GDPRなどで要求される国内データ保管やデータ ローカライゼーションの要求を満たすことが可能です。

医療用の IoT セキュリティが提供する実用的なガイドライン

患者サービスの向上を目指した医療業界の変革に伴い、コネクテッド医療機器の増加が続くと見込まれます。Medical IoT Securityは強固なゼロ トラストの枠組みを土台としており、製品ライフサイクル全体でコネクテッド医療機器を保護する実用的なガイドラインを提供することで、機器の安全な利用を可能にします。また、可視化を通じてリスクと対策を提示することで、すべてのコネクテッド医療機器とアプリケーションを対象としたゼロ トラストを実現します。

Medical IoT Securityの詳細はホワイト ペーパー「医療IoTデバイスの適切なゼロ トラスト アプローチ」をご覧ください。