• Column
  • 社会の成長を止めないIoTセキュリティの姿

ネット接続が進む医療機器にもIoT機器としてのサイバーセキュリティ対策が重要に

「IoTセキュリティフォーラム2023」より、JEITAヘルスケアインダストリ部会 医療用ソフトウェア専門委員会の松元 恒一郎 氏

ANDG CO., LTD.
2023年11月27日

医療機器のネットワーク接続が一般化したことで、IoT(Internet of Things:モノのインターネット)機器としての側面が高まり、セキュリティリスクの低減対策が不可欠になってきている。電子情報技術産業協会(JEITA)ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長の松元 恒一郎 氏が、「第8回IoTセキュリティフォーラム2023」(主催:横浜国立大学先端科学高等研究院、2023年9月6日、7日)に登壇し、医療機器におけるサイバーセキュリティ規制の動向について解説した。

 「医療機器におけるIoT(Internet of Things:モノのインターネット)機器としての側面が高まっている。医療機関におけるサイバー攻撃は、患者や医療従事者の健康被害に直結する可能性がある。医療機器への不正アクセスやウイルス感染へのリスク対応では、経済産業省が公表するIoTのセキュリティガイドラインに照らし合わせるなど、通常のIoT機器と同等の対応が求められる」――。電子情報技術産業協会(JEITA)ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長の松元 恒一郎 氏は、こう話す(写真1)。同氏は日本光電工業の技術戦略本部に勤めている。

写真1:電子情報技術産業協会(JEITA)ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長の松元 恒一郎 氏

医療機器の寿命と組み込みソフトウェアのライフサイクルへの注意が必要

 医療機器においても、有線や無線の通信により医療情報システムや電子カルテシステムとデータをやり取りする機器が増えている。IMDRF(国際医療機器規制当局フォーラム)や日本のPMDA(医薬品医療機器総合機構)などがセキュリティガイドラインを作成し、種々の取り組みを進めている。

 加えて松元氏は、「MRI(Magnetic Resonance Imaging:磁気共鳴画像)やCT(Computed Tomography:コンピュータ断層撮影)といった医療機器は、一般的なIoT機器と比較して製品寿命が長い。それだけに、組み込まれているソフトウェアのライフサイクルと製品の耐久性への注意が必要だ」と指摘する。

 医療機器が受けるサイバー攻撃のリスクとして松元氏は、次の2つを挙げる。1つは、ネットワークから機器が攻撃を受けるリスクだ。そこでは「医療機器は製品としての相応の耐性を持ち、医療施設内での適切な管理が求められる。病院など医療機関と製造・販売企業との連携が不可欠である」(同)

 もう1つは、医療機器自体がサイバー攻撃を受け、それが病院内に影響を及ぼすリスクである。特に遠隔モニタリングやデータを連続的に収集する機器は、ネットワークを通じて大量のデータを送信するため、このリスクが高まる。「医療機器が感染源にならないよう設計・製造されるべきであり、院内でも適切な運用管理が求められる。脆弱性を監視する仕組みやSBOM(Software Bill of Materials:ソフトウェア部品表)の提供も必要だ」と松元氏は話す(図1)。

図1:医療機器へのサイバーリスクとその対応の基本的な考え方(厚生労働省 医薬・生活衛生局 医療機器審査管理課資料より引用)