サイバー攻撃のリスクにさらされる医療機器、メーカーはどう対策を打つべきか?

さまざまな機器がネットワークにつながるIoTの世界が広がっているが、医療機器も例外ではない。医療機器に加え、データベース、専用システム、モバイルアプリなど、さまざまなコンポーネントがネットワークに接続してエコシステムを構築している。

実際、今年5月に世界で猛威を振るったランサムウェア「WannaCry」は医療機器にも影響を及ぼしており、医療機器メーカーはサイバー攻撃への対策を迫られている状況にある。

デロイトトーマツリスクサービスは8月22日、記者説明会を開催し、医療機器に関するサイバーセキュリティの規制の動向、日本の医療機器が求められる対応を紹介した。同社は同日、国内の医療機器メーカーを対象とした、医療機器サイバーセキュリティ対策サービスの提供を開始した。

米国で強化が進む医療機器に対する規制

デロイトトーマツリスクサービスパートナー川勝健司氏

パートナーの川勝健司氏は、「医療機器もネットワークにつながる時代になってきたことから、サイバーリスクも高まっており、実際にデータの流出も起きている。こうしたことをきっかけに、米国ではサイバーセキュリティに関する規制の強化が進んでいる。例えば、2013年には、重要インフラのサイバーセキュリティの強化を図る大統領令が制定された。また、米国食品医薬品局(Food and Drug Administration：FDA)も、医療機器のサイバーセキュリティ管理に関するガイダンスを公表している。こうした背景から、医療機器メーカーはサイバーセキュリティに取り組む必要が出てきている」と説明した。

FDAは、医療機器の設計に関するガイダンスと既に市場に出荷した機器のセキュリティ対策に関するガイダンスを出している。

つまり、国内の医療機器メーカーのうち、米国に出荷している医療機器については、国内とは異なる水準のセキュリティ規制への対応が必要となるわけだ。

海外の医療機器のサイバーセキュリティに関する規制の動向

デロイトトーマツリスクサービスシニアマネジャー伊藤由宣氏

シニアマネジャーの伊藤由宣氏は、販売後の機器に関する規制においては、脆弱性管理が重視されていることを指摘した。というのも、医療機器における脆弱性は過去において多数発見されており、FDAの警告がきっかけで回収になることがあるからだという。

例えば、2012年には、搭載しているSymantec pcAnywhereの脆弱性を悪用して外部接続中に第3者による不正アクセスが可能であることがわかったことから、生化学自動分析装置や遺伝子検査装置がFDAによって回収された。

また、セキュリティ調査会社があるメーカーの医療機器の脆弱性を調査し、その結果を当知町会社に伝えたことで、その医療機器メーカーの株価が暴落し、買収計画にまで影響が及んだことがあったという。もはや、医療機器の脆弱性はサイバーセキュリティのリスクにとどまらず、事業継続のリスクにまで及んでいるのだ。

まずは製品レベルのセキュリティ対応の実施から

こうしたリスクにさらされる中、医療機器メーカーはどのような対策を講じることができるのだろうか。

伊藤氏は、その例として、製品開発において、「セキュリティ・バイ・デザイン」というコンセプトの下、企画設計の段階からセキュリティを考慮したリスクベースの包括的なアプローチを紹介した。

同社としては、サイバーセキュリティ体制の成熟度に合わせて、「製品レベルでのセキュリティの対応」「セキュリティガバナンス整備」「さらなる高度化・自動化・効率化」という3段階による取り組みを推進している。

サイバーセキュリティ体制の成熟度に合わせた3段階の対策

「医療機器のセキュリティ対応を一気に行うのは無理だが、かといってそれほど長い時間はかけられない。2、3年で実現したいところ」と、伊藤氏は語る。

日本の医療機器メーカーは第1段階がやっとできているかどうかの状況である一方、米国の先進的な医療機器メーカーは既に第3段階に達しているそうだ。

「製品レベルでのセキュリティの対応」においては、机上で医療機器のリスクアセスメントを行った上で、実機でテクニカルテストを行う。伊藤氏は、「参照すべき規制やガイドラインが多数あるので、評価項目の選定にあたり、どれに対応してよいかわからなくなってしまうかもしれない。そのため、評価項目をいかに適切に選定して適用するかが重要」とアドバイスする。

同社は、先の3段階のサイバーセキュリティ体制の成熟度に合わせて、「総合的な医療機器サイバーセキュリティ対策サービス」を提供する。同サービスの主なメニューとしては、以下の6つが挙げられる。