医療機器サイバーセキュリティのチェックすべきポイント：開発段階から検討必須！ あなたの製品のセキュリティ対策（2）（1/2 ページ）

さまざまな機器がネットワークにつながるようになり、機器の生産性や利便性は大きく高まった現代。しかし同時にセキュリティの問題が生じ、開発段階からセキュリティ対策を行うことが必須となる。連載第2回では、医療機器におけるサイバーセキュリティを解説する。

[貝田章太郎／テュフ ラインランド ジャパン，MONOist]

　さまざまな機器がネットワークにつながるようになり、機器の生産性や利便性は大きく高まった。しかし同時にセキュリティの問題が生じ、各種トラブルが散見されるようになったのも事実である。本連載では急速にコネクテッド化が進む、産業用ロボット、医療機器などに焦点を当て、顕在化してきたセキュリティリスクと取り得る対策について紹介している。

---

　連載第2回となる本稿では、能動医療機器（電気などの動力源によって動作する医療機器）に照準を絞って、サイバーセキュリティ対策の方法論を紹介したい。

　そもそも医療の世界ではITの導入が早くから進んでいた。1980年代後半から医用画像（X線、CT、MRIなど）のデジタル化を目的としたPACS（Picture Archiving and Communication System）が開発され、広く普及した1990年代後半から病院内のIT化、ネットワーク化が著しく進んだ^※）。そのため病院内のさまざまな機器がネットワークにつながる素地は以前からあったといえるだろう。医療機器においても、ネットワーク接続機能をはじめとしたITへの対応はほぼ必須要件となった半面、サイバーセキュリティの脅威にもさらされることとなった。

※）関連記事：連載「医療機器開発者のための医療IT入門」バックナンバー

　ちなみに能動医療機器といってもその種類は多様である。身近なものでは体温計や血圧計のような、万が一の事故が起きた場合にも身体や生命に大きな影響を直接及ぼさないようなものから、画像診断システム（X線、CT、MRI、内視鏡、眼科検査機）のような検査機器、酸素吸入装置やインスリンポンプ、また手術に使う大型のロボットなど、その役割から使われ方に至るまで多種多様であることから総花的な対策は存在しないといってよい。

　まずは医療機器について現状のセキュリティ対策レベルと、存在するリスク、そしてリスクを解消する方法を明確にすることがサイバーセキュリティ対策の第一歩といえよう。これは人間でいうと健康診断を受けるようなものである。健康診断を受けないことには身体のどこに異常があるのか、そしてどのような治療を受ければよいのか方針を立てることは難しい。健康診断を受けないまま服薬することは、場合によっては逆効果になることもあり得る。ましてや検査を受けずに手術を受けることなどあり得ないだろう。

医療機器におけるサイバーセキュリティ対策の流れ（クリックで拡大） 出典：テュフ ラインランド ジャパン

医療機器サイバーセキュリティのチェックポイント

　健康診断をする場合にも、年齢、性別、既往症や自覚症状の有無によって検査項目や手法が変わる。それと同じように、検査の内容を決定するに当たって、機器について十分把握することが必要になる。具体的には下記の項目を十分に把握することで、必要な検査項目や手法を確定できる。

IT機器として

• OSの種類およびバージョン
• データベースの種類およびバージョン
• Webサーバの種類およびバージョン
• アプリケーションの記述言語およびバージョン
• 保有する外部インタフェースの種類（イーサネット、USB、Wi-Fi、Bluetoothなど）
• 内部、外部情報記憶装置の種類（HDD（ハードディスクドライブ）、SSD（ソリッドステートドライブ）、eMMC（embedded Multi Media Card）、SDカード、USBメモリなど）

販売する地域

• 日本
• 米国
• 欧州
• 中国など