埋め込み医療機器のセキュリティはどうなってるの？

担当している仕事内容にもよりますが、ITに関するトレンドを調べることはちょくちょくあります。

情報セキュリティに関するものはIPA(独立行政法人情報処理推進機構)が発行するものを参考にすることが多いです。

そういえば医療機器に関するセキュリティ脅威について書かれた記事があったような？

気になったので調べてみました。

ICDなど直接ネットワークへ接続される埋め込み医療機器はあるのかな？

EVAHEARTはありません。

しかし、関節的にはネットワークへ接続可能だと思います。

それはEVAHEARTのモニターシステム。詳細は分かりませんが古いWindowsOSがベースであることはわかる。

何らかのネットワークへ接続しているかはわかりませんが、利便性を考えると今後は活用も進むのではと思います。

もし私がEVAHEAERTコントローラを攻撃するのであれば、このモニターシステムを標的とするでしょう。

モニターシステムへ不正プログラムを仕掛け、EVAHEARTコントローラへ「何か」を行う。

時刻を改竄するくらいの問題であればよいですが、たとえば「停止」へ追い込むような改竄や破壊が行われるようなことがあればゾッとします。

下記の記事はそれに対して警鐘を鳴らしています。

出展：独立行政法人情報処理推進機構(IPA)　

　　　ICS-CERT マンスリー・モニター(2012年8月号)　概要より

※ICS-CERTとは米国土安全保障省が運営する組織

1.　8月のインシデントレスポンス活動　－　インターネットからアクセス可能な医療機器

医療機器についても、リモート監視が進んでいる傾向にある。制御システム同様、医療機器も正常な動作

が損なわれることは致命的な結果を引き起こす可能性がある。医療施設においては、医療機器を直接インタ

ーネットに接続しないようにし、医療機器ベンダは、製品の提供前に埋め込み型医療機器のセキュリティ機能

の実装や脆弱性の評価を行うべきである。もしベンダ自身にそのスキルがないのであれば、専門の会社に依

頼することが奨励される。

最近の事例として、インターネットからアクセス可能な医療機器が大学で見つかった。実際に使用していた

ものか、研究の一環だったかは不明だが、システム管理者に連絡を取り、是正がなされた。

ICS-CERT では、インターネットからアクセス可能な制御システムに対する脅威と対策を纏めたドキュメント

も公開しているので参照のこと。

正直知らなくてよい情報を知ってしまった感が強いです…

実際には対象となるシステムが多いところを標的にされる傾向が強いので、過度に心配する必要はないんですけどね。

しかし、次期システムを開発しているのであればこういう観点も取り入れてリスクアセスメントしてほしい。

プチが言う前にすでに考えられているのでしょうけど・・・

facebook等でシェアしていただけると幸いです。

発信を続ける以上、多くの方に知ってもらいたいと考えております。

移植医療啓発に少しでも役立てればと思います。

「いいね」と思った記事がありましたらシェアいただけると励みになります♪