まずはIT機器としての観点から分析する。ネットワークにつながる医療機器の実態は、小型コンピュータである。そしてその中ではWindowsやLinuxなどの汎用(はんよう)OS、もしくはリアルタイムOSなどが用いられることが多い。特に医療現場ではタッチパネルやフットコントローラーのサポートが必要になることも多く、それらをサポートする際にはOSが標準でドライバを持っていることは開発上有利である。
また画像診断装置の場合には、高速ネットワーク通信が必須となる。X線写真1枚であれば、ファイル容量も数十MB程度にすぎないが、近年のPACSでは高精細な画像を扱うことが増え、スライスの間隔もどんどん小さくなっている。またフルハイビジョンでの動画撮影はもちろん、4Kや8Kでの動画撮影も実用化事例が増えており、ギガビットイーサネットのサポートなどが標準となりつつある。そのため高速ネットワークインタフェースのサポートなどの観点からも、汎用のITを使った開発はますます一般化するだろう。
このテストを行うときに重要になるのが機器の販売地域を把握することにある。それぞれの国や地域ごとに医療機器に求められるサイバーセキュリティ対策は変わってくる。例えば米国であればUL-2900-2-1を考慮する必要があるが、欧州であれば欧州連合(EU)の個人情報保護法である一般データ保護規則(GDPR)を意識する必要がある。また汎用的なITを利用していることから、CVSやCIS Benchmark、OWASPなどといったITにおけるサイバーセキュリティの指標も考慮しなければならない。
検査結果については2つの観点から分析することが望ましい。まずはどのようなリスクが機器に内在しているのか、脆弱(ぜいじゃく)性などをきちんとリスト化することである。そしてそれらを放っておくとどのような問題が起き得るのか、きちんと分析することである。それらが明確になって、はじめてどのような対策をとるべきかが明確になる。医療機器が人体に及ぼすインパクトを考えると、これらの検査はもっと一般化してもよいのではないかと考える。
繰り返しになるが、まずは検査を受けることが、サイバーセキュリティ対策の第一歩になる。何から始めればよいか分からないメーカーは、まず専門家に相談することを推奨する。
Copyright © ITmedia, Inc. All Rights Reserved.