医療分野のセキュリティ:今後のリスクと予測

医療機関をターゲットにしたサイバー攻撃が増えています。今後、どのようなリスクや未来が予想されるでしょうか。

ここ数年、医療分野は激しさと複雑さを増すサイバーセキュリティの脅威に晒されています。病院などの組織はこれまで以上にセキュリティへ投資していますが、サイバー犯罪者は常に侵入方法を見つけ出し、医療記録などの重要情報を盗み続けています。

医療技術と同じように、脅威も進化します。新しい防御技術が発表されるのと同じスピードで、サイバー犯罪者も次世代の攻撃へと進む。この変化の速さは、病院がさらに強いプレッシャーに晒されるという意味でもあります。

今後、医療業界はどういったリスクに向き合うことになるのか、医療分野におけるITセキュリティの未来像はどんなものであるか、業界の抱える課題から見ていきたいと思います。

ハッカーの標的に

ハッキングの標的として医療分野のITシステムが狙われるようになったのは、最近のことです。狙われる理由は、医療機関が金になる情報の宝庫であるところにあります。医療記録として集積していく個人情報や支払いに関する情報は、犯罪者による「なりすまし」に利用可能なのです。

その上、オンラインで提供される医療サービスが増え、モバイルデバイスの利用も増加しています。こうした状況にあって、新たに見つかった脆弱性を突き、ランサムウェアを使ってシステムを停止に追い込む、という犯罪手口が見られています。患者の命に関わる以上、情報を取り戻して医療サービスを復旧させるには身代金を支払うしかない、と判断を下す組織も数多くあります。

残念ながら、見えてくる未来は、医療セキュリティとサイバー犯罪者とのいたちごっこの激化です。最近では、米国をはじめ世界各地の病院に対するサイバー攻撃が相次いで発生し、脅威に対する意識は間違いなく高まりました。しかし、複数の犯罪グループによる医療システムへの攻撃がやすやすと行われたことで、犯罪のリターンの大きさが目立ってしまったという意見もあるかもしれません。

ITシステムのアップデート

サイバー犯罪者が旧式のシステムを狙っている証拠は、枚挙にいとまがありません。今後5~10年の間、医療組織はセキュリティ強化のために新たな技術へ投資していくことになるでしょう。

医療分野におけるIT管理者の課題は、多様で重複も見られるテクノロジーの蓄積によって構築されたITインフラを管理し続けているところにあります。こうしたインフラでは、テクノロジーとテクノロジーの間に隙間が存在し、サイバー犯罪者の侵入を許すことがままあります。

このようなシステムは扱いにくく、管理にも困難が伴います。システムを構成する製品のメーカーが製品のサポートを終了している場合も多く、たとえば、Microsoftは数年前にWindows XPのサポートを終了しています。こうした製品に対しては、セキュリティ更新プログラムやパッチが提供されません。

旧式のシステム、特に10年以上経っているシステムは多くの脆弱性を抱えていますが、組織のITインフラの奥深くに組み込まれていてリプレースできない場合が多々あります。しかし、セキュリティへの脅威が今後も増加する状況にあって、旧式システムを最新のITシステムにリプレースすることは、医療提供者にとって最優先事項になってくるでしょう。

ハッキング可能なモノのインターネット

多くの重要な医療機器がオンライン化するにしたがって、セキュリティのリスクは上昇します。悪意ある集団による医療機器の乗っ取りは、致命的な結果を招きかねません。

ディック・チェイニー元米国副大統領の医師が、数年前から暗殺防止のためにペースメーカーの無線機能を無効にしているというニュース(英語記事)を思い出します。生命維持のための医療機器が続々とネット接続されるようになると、モノのインターネット(IoT)のセキュリティは優先順位が高くなっていくでしょう。

クラウドの活用や、スマート機能を持つモバイル機器やオンラインストレージの普及は、予防処置や外来診療のあり方を変える可能性を持っています。しかし、ここ数年、医療現場ではセキュリティに対する懸念が噴出しています。有効な取り組みなしには、セキュリティの問題がモバイル機器やウェアラブル機器の開発を妨げかねません。

医療機器の問題を修正するには、残念ながら、単純なソフトウェアパッチではなくシステムの再設計が必要ですが、これには時間がかかります。安全性の高い機器が導入されるまで、何年もかかるかもしれません。

データの保護

ビッグデータおよびビッグデータ解析は、高精度医療、公衆衛生、そして価値に基づく医療への門戸を開くものです。しかし、データ保護に関わる管理手順が不十分なために、往々にしてその恩恵に預かることができていません。データ流出の多くは、人的エラーに端を発します(英語記事)。大半の病院では、他の業界ではあまり見られない、ワークステーションやパスワードの共有が行われています。病院業務の実践に改善が求められます。

病院はまた、データの増殖という課題にも取り組まねばなりません。モバイル機器から健康管理センサーに至るまで、データ発生源は多岐にわたります。病院では、膨大な数に上る各種IT機器と、それぞれの機器が抱えるデータを管理する必要に迫られています。

データセキュリティの取り組みがなされるまでの間、医療ITの専門家は、新しいテクノロジーの導入を阻む大きな壁に向き合い続けることになるでしょう。したがって、今後数年間は、データへのアクセスを管理する手続きを確立し、そのためのシステムを導入することで、セキュリティの向上を図っていくことになると見ています。そうした施策の中には、OSやブラウザー、ソフトウェアを最新の状態に保つことのほか、強固なアクセスコントロールの実践も含まれるでしょう。

医療分野にはテクノロジーの変化が押し寄せています。医療組織がシステムのセキュリティ対策を講じる時期としては、遅いかもしれません。データの管理と保護を考慮して基礎から作り上げたシステムを通じ、セキュリティ脅威と向き合うことによってこそ、医療技術によって良き方向へ向かう未来を実現することができるのです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?