設置公開<2010年7月23日>
主として、パソコン関係の話題。
その他、雑談、情報、愚痴話、自慢話、自説等々。
主旨は、閲覧の皆様に、一寸でも手助けが出来れば、
ご参考になればと、投稿賜りたく。
<不適切投稿は、削除します>
<投稿文は、【シバケンの天国別邸】に掲載します>
本家【シバケンの天国】
アクセス推移、ランキング、迷惑投稿公開、<趣意書>
医療IoTのリスクと対策 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/11/24 (Tue) 03:50:07
<ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由>
こんばんは。
ブームに乗って何でもIoTを進めるのは危険すぎます。
> インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。
> [Kristen Gloss,TechTarget]
> 患者の安全を過度に脅かさず、インターネット接続が可能な医療機器のメリットを生かすには、医療機関はバランスの取れた慎重な行動をする必要がある。
> 医療機関と患者が病院内のネットワークに持ち込むデバイスが多様化している。IoT(モノのインターネット)の技術は、患者のケアと医療施設の機能向上に貢献してきた。だがIoT技術の成長とともにサイバー脅威も増加する。
> IoT技術を実装したデバイス(以下、IoTデバイス)は医療現場において、次のような用途で活用されている。
≫ 入院患者や外来患者のモニタリング
≫ 医療機器の資産管理
≫ 空調設備システムや照明の自動管理
> インターネットに接続できる医療機器は業務効率を向上させ、結果として患者や医療従事者の生活を改善する。ただしサイバー攻撃を受ける可能性を広げてしまうのも確かだ。
> 調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は「攻撃側は以前より賢くなっている」と話す。新型コロナウイルス感染症(COVID-19)が世界的に流行しているさなか、同社は医療機器に対する攻撃が急増していた状況を調査によって認識していた。増加しているのはIoTデバイス全般に対する攻撃だが「中でも医療業界での増加は顕著だ」とルノー氏は強調する。
> 患者の命を左右する医療IoTセキュリティ
> 過去の大きなセキュリティ侵害事件からも、医療機関を標的とするサイバー攻撃の増加が深刻な問題になっていることは明らかだ。そのため医療機関や医療機器メーカー、規制当局は、IoTデバイスのセキュリティを重視せざるを得なくなっている。
> 2016年にはセキュリティ調査会社MedSecと投資調査会社Muddy Watersが、医療機器メーカーSt. Jude Medical製(注1)の循環器疾患用デバイス(埋め込み型ペースメーカーおよび除細動器のリモート監視システム)に潜む脆弱(ぜいじゃく)性を特定した。この脆弱性を悪用すると、攻撃者は医療機器のバッテリーがなくなるまで繰り返しメッセージを送信できる。
> ※注1:St. Jude Medicalは2017年に同業のAbbott Laboratoriesに買収されている。
> 研究者は「この脆弱性によって、St. Jude Medical製のペースメーカーや除細動器は機能しなくなる恐れがある」と指摘した。この議論を巻き起こした脆弱性の取り扱いによって、米国の食品医薬品局(FDA)はサイバーセキュリティと医療機器全般に関する指針を発表することとなった。
> 2018年開催のセキュリティカンファレンス「Black Hat USA 2018」では、さまざまな研究者が医療分野のIoTデバイスに潜む重大な危険性を明らかにした。例えばセキュリティ会社WhiteScopeを設立したビリー・リオス氏と、同業のQED Secure SolutionsでCEOを務めるジョナサン・バッツ氏は、攻撃者がどのように医療機器メーカーMedtronic製のペースメーカーにリモートアクセスし、患者の心臓への電気刺激を管理したり、保留したりできることをBlack Hatで実演していた。
> ランサムウェア(身代金攻撃型マルウェア)の「WannaCry」は、医療システムを標的にした有名なマルウェアの一つで、2017年に初めて見つかった。ハッカーはWannaCryを使用して「Windows」の脆弱性を標的にし、マルウェアを感染させたデバイスに医療従事者がアクセスできないようにした。
> 医療機器メーカーやセキュリティ担当者が医療分野におけるIoTデバイスのセキュリティ強化に取り組まざるを得なくなった要因は、サイバー攻撃だけではない。FDAは医療機器メーカーを対象として、医療分野におけるIoTデバイスのセキュリティ設計および維持に関するサイバーセキュリティ勧告を、2016年と2018年に発出している。Healthtrust Purchasing GroupやMayo Clinicといった医療機関も、医療機器をメーカーから購入する際の独自の調達要件を確立している。このような要件によって医療機器メーカーは、自社製品にセキュリティ機能を組み込むようになった。
> 「ダメージの回復に掛かるコストは、ダメージを防ぐのに必要なコストをはるかに上回る」。デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏はこう語る。
> 中編は医療IoTのリスクの中でも特に重大な「患者の安全」に焦点を当て、解説する。
<医療IoTのリスクと対策【前編】 ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由(TechTarget会員記事、10月21日)>
https://techtarget.itmedia.co.jp/tt/news/2010/21/news05.html#utm_medium=email&utm_source=tt-friday&utm_campaign=20201120&utm_content=SP1
Re: ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/11/24 (Tue) 04:11:36
<「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと>
おはようございます。
患者の安全を守ることについて論じています。
> 医療IoTデバイスは多くのメリットをもたらす一方で、侵害時のリスクは生命に関わるほど重大なものになる。医療現場がIoTデバイスを安全に活用する上で、正確に把握すべき「現状の課題」は何か。
> [Kristen Gloss,TechTarget]
> 医療分野で利用されるIoT(モノのインターネット)デバイスの脆弱(ぜいじゃく)性がもたらす脅威は、身体に害を及ぼす場合があるという点で、一般消費者向けデバイスの脆弱性がもたらす脅威よりも深刻度が高い。医療従事者と患者が治療方針を決めて治療を進めるには、正確なデータが欠かせないからだ。
> 「医療行為に影響を及ぼすIoTデバイスが、医療と関連付けられているデータにアクセスして改ざんするための踏み台として悪用された場合、最大の懸念は患者の安全だ」。医療機関Intermountain Healthcareで最高情報セキュリティ責任者(CISO)を務めるカール・ウエスト氏はこう話す。
> 前回「ペースメーカー停止の恐れも 『医療IoTセキュリティ』を無視できない理由」に続く中編となる本稿は「患者の安全性」に焦点を当て、医療IoTセキュリティの課題を解説する。
> 最優先は患者の安全確保
> ウエスト氏自身はサイバー攻撃によって患者の安全性が損なわれる状況に遭遇したことはないが「この問題は常に付いて回る」と話す。攻撃者はランサムウェア(身代金要求型マルウェア)攻撃やDDoS(分散型サービス拒否)攻撃の一環としてIoTデバイスにウイルスを感染させ、そのIoTデバイスを医療グループのネットワーク内にある他の場所に侵入する踏み台として使用する。
> デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏は、医療分野におけるIoT技術の脆弱性がもたらす潜在的なリスクを実地で体験しているという。ネルソン氏は糖尿病の治療のために、血糖値を常時監視する「持続血糖測定器」と、インスリンを持続的に注入するため皮下に埋め込む小型の輸液ポンプ「インスリンポンプ」を使用している。持続血糖測定器は血液のサンプルを採取して血糖値を測定し、Bluetooth経由でスマートフォンに警告メッセージを送信する。
> ハッカーは中間者攻撃を仕掛けて、持続血糖測定器からスマートフォンに報告される値を操作できる可能性がある。このデータ操作によって、危険な量のインスリンを注入される状況が発生しかねない。IoTデバイスが侵害されてしまうと、攻撃者はIoTデバイスの動作変更や無効化、他のデバイスへのアクセス権の入手といった操作が可能になる。
> IT/OTの集約とレガシーデバイスがもたらす問題
> IoT技術の進歩によって、日々新たなIoTデバイスがインターネットに接続されるようになっている。そのためIT管理者は、IT資産管理のインベントリ情報を更新し続けるのに苦慮する可能性がある。こうしたIoTデバイスはIT部門のあずかり知らぬところで、ビジネスの一環としてネットワークにアクセスすることがある。従ってIoTセキュリティを確保する上ではIoTデバイスの検出技術が重要になる。
> 制御技術(OT)の担当者は必ずしもセキュリティのベストプラクティスを最優先に考えるわけではない。IT担当者もセキュリティ対策が運用にどのような支障を来すのかを常に把握しているとは限らない。
> あらゆるものをファイアウォールで保護する従来型のセキュリティ対策は「迅速な治療を提供するためのワークフローと衝突して、不都合が生じる恐れがある」と、調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は語る。「IT担当者とそれ以外の担当者が一堂に会して、ベストの利用例やシステムを一緒に作り上げることが不可欠だ」(ルノー氏)
> このリスクは医療グループのネットワークに持ち込まれる、インターネット接続が可能な医療機器にまで及ぶ。病院のゲストネットワークに接続する患者のウェアラブルデバイスやスマートデバイスも同様だ。ゲストネットワークにあらゆる保護対策を設定して制御を徹底しても、ネットワークを監視していなければ不正な活動は「いくらでも発生する」(ウエスト氏)。ネットワークに接続した患者のIoTデバイスに、医療グループのネットワークに侵入する恐れがあるマルウェアが潜んでいる可能性もゼロではない。
> レガシーデバイスがネットワークに接続することによるセキュリティ問題も無視できない。ルノー氏によると、医療機関では数百万ドルにも上る高額医療機器の多くが減価償却を終えるまで入れ替えられない。このようなレガシーデバイスをネットワークに接続することで脆弱性が生じる。レガシーデバイスはベンダーによって採用しているプロトコルが異なり、セキュリティを維持するための無線経由のアップデートを受け取れない可能性がある。
> 後編は医療機関のIoTセキュリティ強化のための5つのステップを解説する。
<医療IoTのリスクと対策【中編】 「医療IoTデバイスへの攻撃」から患者の命を守るために、まずやるべきこと(TechTarget会員記事、11月5日)>
https://techtarget.itmedia.co.jp/tt/news/2011/05/news01.html
Re: ペースメーカー停止の恐れも 「医療IoTセキュリティ」を無視できない理由 - 磯津千由紀(寫眞機廢人)@ProOne 600 G1 AiO(Win10Pro64)
2020/11/24 (Tue) 04:28:50
<「医療IoTデバイス」のセキュリティを確保する5つのステップ>
おはようございます。
IoT機器への対策方法について紹介しています。
> 医療IoTデバイスはひとたび侵害されたら患者の生命を脅かすリスクがある。安全のために、医療機関がやるべき対策を5つのステップに分けて紹介する。
> [Kristen Gloss,TechTarget]
> 医療機関のIT管理者は、患者の安全を確保するため、目まぐるしく進歩するIoT(モノのインターネット)デバイスとデータの保護に関する問題を理解しておかなければならない。医療用途のIoTデバイスの中には患者の身体に埋め込んで常時データを収集するものもある。こうしたIoTデバイスが攻撃者に侵害されデータが直接改ざんされたら、最悪の場合、患者の健康を害する可能性もある。前編「ペースメーカー停止の恐れも 『医療IoTセキュリティ』を無視できない理由」、中編「『医療IoTデバイスへの攻撃』から患者の命を守るために、まずやるべきこと」に続く後編となる本稿は、医療機関のIoTセキュリティ強化のための5つのステップを紹介する。
> ステップ1.デバイスの目録を作成する
> 調査会社451 ResearchでIoTのリサーチディレクターを務めるクリスチャン・ルノー氏は「デバイスの存在を把握しなければ、そのセキュリティを確保できない」と説明し、医療機関に対して全ての資産を網羅する図表の作成を勧める。IoTデバイスは「役に立つ」という理由だけで、リスクの事前評価もなしに病院内ネットワークに持ち込まれてしまうケースが少なくない。例えば患者が音楽を聴きたいからと「Google Assistant」(Googleアシスタント)や「Amazon Alexa」などの音声アシスタントを搭載したスマートスピーカーを院内に持ち込む可能性がある。
> ネットワークに存在するIoTデバイスを検出するためのインベントリ管理ツールを提供している医療機器メーカーもある。こうしたツールは、検出の際にIoTデバイスの機能を中断することはなく、OSが搭載されていないIoTデバイスも検出する。各IoTデバイスで実行されているOSも特定できる。
> ステップ2.ベストプラクティスに従う
> 医療従事者は、医療分野におけるIoTデバイスのセキュリティ強化のためのベストプラクティスに従わなければならない。具体的には「初期設定パスワードを使わない」「ファイアウォールや暗号化技術を導入する」といったことだ。デバイスを導入する前にリスクを評価し、どのような脆弱(ぜいじゃく)性があるかを理解し、行動予測分析に基づいてネットワークトラフィックを監視し、異常の有無を検知する必要がある。ソフトウェアを定期的にアップデートすることも重要だ。
> ステップ3.効果的な認証を実装する
> 公開鍵暗号基盤(PKI)とデジタル証明書を導入すると、ネットワークや電子カルテシステム、他のデバイスへの接続を認証して、伝送中にデータが中間者攻撃によって操作されていないことを保証しやすくなる。
> ステップ4.ネットワークをセグメントに分割する
> IT管理者は制御機能が組み込まれていないIoTデバイスをネットワークから隔離しなければならない。そのIoTデバイスを治療に使用しなければならない場合、IT管理者はIoTデバイスのインターネット接続機能を無効にする。IoTデバイスをインターネットに接続しなければならない場合、医療機関はベンダーの協力を仰ぎ、IoTデバイスが接続する必要のある場面を特定し、許可リストを作成して必要な接続のみを許可する。拒否リストを作成して、IoTデバイスが既知の有害なWebサイトに接続できないようにする方法もある。
> ルノー氏は「IT管理者はパブリックネットワークと他のネットワークのセグメントを分けたり、仮想LANの資産やイベントへのアクセスを制限したり、部門ごとにトラフィックを分離したりしなければならない」と指摘する。レガシーデバイスはゲートウェイで保護することで、IoTデバイスの物理接続のセキュリティを確保できる。
> ステップ5.適切なツールを使用する
> IoTセキュリティの運用をシンプルにするツールを導入する手もある。大量のデータやIoTデバイスの管理を自動化するツールもある。医療機関Intermountain Healthcareで最高情報セキュリティ責任者(CISO)を務めるカール・ウエスト氏によると、医療機器メーカーは自社製品の管理用に
≫ 接続するIoTデバイスは何か
≫ どのようなデータを収集しているか
≫ どこでインターネットに接続しているか
> を識別できる専用ツールを開発している。IT管理者がネットワークトラフィックを監視して、接続を承認したり拒否したりするには、IoTデバイスの分析ツールが役に立つ。
<医療IoTのリスクと対策【後編】 「医療IoTデバイス」のセキュリティを確保する5つのステップ(TechTarget会員記事、11月19日)>
https://techtarget.itmedia.co.jp/tt/news/2011/19/news01.html