Overview
医療IoTセキュリティとは、IoMT(Internet of Medical Things:医療モノのインターネット)と呼ばれるネットワーク接続された医療機器や医療情報システムを、サイバー脅威から保護するための技術的・組織的対策の総称です。IoMTには、輸液ポンプ、患者モニター、ペースメーカー、インスリンポンプ、MRI装置、電子カルテシステムなど、患者の生命に直結する機器が含まれており、セキュリティ侵害は直接的な人命リスクに繋がります。
医療機器のサイバーセキュリティは、米国FDA(食品医薬品局)の市販前サイバーセキュリティガイダンス、HIPAA(医療保険の携行性と責任に関する法律)のセキュリティルール、IEC 62443(産業制御システムセキュリティ)、IEC 80001(医療ITネットワークリスク管理)など、複数の規制やフレームワークによって管理されています。FDAは2023年以降、市販前申請においてサイバーセキュリティ計画の提出を義務化し、脆弱性のある医療機器の承認を拒否する権限を行使しています。
医療IoT環境の特殊性として、機器の長いライフサイクル(10〜20年)、リアルタイム性の要求、レガシーOS(Windows XP等)の継続使用、臨床現場でのアップデート困難性、そして患者安全と可用性の最優先という制約があります。これらの制約の中で、機密性・完全性・可用性のバランスを取りながら、効果的なセキュリティ対策を講じることが求められています。
Details
IoMT(Internet of Medical Things)の構成要素
IoMTは、患者に直接接触するデバイス(ウェアラブルセンサー、埋め込み型デバイス)、臨床環境で使用される機器(輸液ポンプ、患者モニター、手術ロボット)、施設管理システム(HVAC、環境モニタリング)、そしてバックエンドの医療情報システム(EHR/EMR、PACS、LIS)で構成されます。
これらのデバイスは、院内ネットワーク、Wi-Fi、Bluetooth Low Energy(BLE)、セルラー通信など多様なプロトコルで接続されており、攻撃対象面が非常に広くなっています。特に、デバイス間のデータフロー(患者モニターからEHRへのバイタルデータ送信等)が侵害されると、誤った投薬指示や診断エラーに繋がる可能性があります。
FDA市販前サイバーセキュリティガイダンス
米国FDAは、ネットワーク接続機能を持つ医療機器に対して、市販前(プリマーケット)段階でのサイバーセキュリティ要件を定めています。2023年3月施行の改正FD&C法(連邦食品・医薬品・化粧品法)第524B条により、サイバーセキュリティ計画の提出が法的義務となりました。
具体的な要件として、脅威モデリングの実施、SBOM(ソフトウェア部品表)の提供、脆弱性の監視・修正プロセスの確立、セキュリティパッチの合理的な期間内での提供、そしてコーディネーテッド・ディスクロージャー(協調的脆弱性開示)への参加が求められています。FDAは製品のリスクレベルに応じてTier 1(高リスク)とTier 2(標準リスク)に分類し、それぞれ異なる審査基準を適用しています。
HIPAA準拠と医療データ保護
HIPAAのセキュリティルールは、電子的な保護対象医療情報(ePHI)の機密性、完全性、可用性を確保するための管理的・物理的・技術的セーフガードを義務付けています。IoMT機器が収集・送信する患者データはePHIに該当するため、暗号化、アクセス制御、監査ログ、自動ログオフなどの対策が必要です。
特にIoMT環境では、デバイスのリソース制約(処理能力、メモリ、バッテリー)により暗号化の実装が困難なケースや、デバイスがePHIを処理していることを医療機関が把握していないケースが問題となります。HIPAA違反には最大で年間約200万ドルの罰金が科される可能性があります。
医療機器の脆弱性と攻撃ベクトル
医療機器に特有の脆弱性として、ハードコードされた認証情報、暗号化されていない通信プロトコル(HL7 v2、DICOM等)、古い暗号アルゴリズムの使用、不十分な入力検証、そしてサポート終了OSの継続利用があります。
攻撃ベクトルとしては、院内ネットワークへの侵入後のラテラルムーブメント、Bluetooth/BLE経由の近接攻撃、悪意のあるファームウェアアップデート、サプライチェーン攻撃(製造段階でのバックドア挿入)、そしてランサムウェアによる医療情報システムの暗号化が挙げられます。
患者安全とサイバーセキュリティの交差点
医療IoTセキュリティにおいて最も重要な原則は、患者安全の確保です。セキュリティパッチの適用が機器の動作に影響を与える可能性がある場合、パッチ適用前にメーカーによる検証が必要であり、その間のリスク軽減策(ネットワーク分離、アクセス制御強化等)を講じる必要があります。
また、緊急時には認証メカニズムが救命行為を妨げてはならないという「ブレークグラス(非常時解除)」の概念も重要です。セキュリティ対策が厳格すぎると臨床ワークフローに支障をきたし、現場で回避策(パスワードの付箋貼り等)が取られるリスクがあるため、セキュリティとユーザビリティのバランスが求められます。
Security Measures
- 01医療機器のネットワークセグメンテーション:IoMT機器を一般的なIT ネットワークから分離し、専用のVLANまたはマイクロセグメンテーションで保護してください。医療機器と通信可能なシステムをホワイトリスト方式で制限し、不正なラテラルムーブメントを防止することが重要です。
- 02医療機器資産の可視化と継続的監視:院内ネットワークに接続されたすべてのIoMT機器を自動検出し、資産台帳を維持してください。パッシブネットワーク監視により、機器の通信パターンの異常を検知し、不正アクセスや異常動作を早期に発見する体制を構築しましょう。
- 03FDA要件に準拠したセキュアな製品開発:医療機器メーカーは、設計段階から脅威モデリングを実施し、SBOM の管理、セキュアコーディング、ペネトレーションテストを含む包括的なセキュリティ開発ライフサイクル(SDL)を導入してください。市販後の脆弱性監視と適時のパッチ提供も法的義務です。
- 04レガシー医療機器のリスク軽減策:サポート終了OSで動作するレガシー機器には、ネットワーク分離、アプリケーションホワイトリスティング、仮想パッチ(IPS/WAFによる脆弱性防御)、USB ポート制御などの補完的セキュリティ対策を適用してください。リプレース計画も並行して策定しましょう。
- 05インシデント対応計画における臨床継続性の確保:サイバーインシデント発生時に患者ケアを継続するための臨床ダウンタイム手順を策定してください。電子カルテが利用不能な場合の紙ベースの運用手順、手動での投薬確認プロセスなど、IT障害時の臨床業務継続計画を定期的に訓練しましょう。
- 06医療機器調達時のセキュリティ評価:新規医療機器の調達プロセスにサイバーセキュリティ評価を組み込み、メーカーのセキュリティ対応能力(脆弱性開示ポリシー、パッチ提供体制、SBOM提供、サポート期間等)を調達条件として明記してください。MDS2(Manufacturer Disclosure Statement for Medical Device Security)の提出を求めることが効果的です。
Incidents
📋 WannaCryランサムウェアによる英国NHS医療システム麻痺(2017年)
2017年5月、WannaCryランサムウェアが世界中に拡散し、英国の国民保健サービス(NHS)が甚大な被害を受けました。約80の医療機関が影響を受け、MRI装置、血液保存冷蔵庫、手術室の機器など多数の医療機器がWindows XPを搭載していたために感染し、機能停止に陥りました。
この攻撃により、推定19,000件以上の外来予約がキャンセルされ、手術の延期、救急患者の転送が発生しました。レガシーOSの継続使用とパッチ管理の不備が根本原因であり、医療機器のサイバーセキュリティ管理の重要性を世界的に認識させた事件となりました。
📋 インスリンポンプの遠隔操作脆弱性発見(2019年)
2019年、セキュリティ研究者がMedtronic社製のインスリンポンプ「MiniMed」シリーズに重大な脆弱性を発見しました。無線通信プロトコルの暗号化が不十分であり、攻撃者が近距離から無線信号を傍受・改ざんすることで、インスリンの投与量を遠隔で変更できる可能性がありました。
FDAは緊急安全性通知を発出し、影響を受けるインスリンポンプの使用中止と代替製品への交換を勧告しました。この事例は、埋め込み型・携帯型医療機器の無線通信セキュリティの重要性と、脆弱性が直接的に患者の生命を脅かし得ることを明確に示しました。
📋 ドイツ病院へのランサムウェア攻撃と患者死亡事例(2020年)
2020年9月、ドイツのデュッセルドルフ大学病院がランサムウェア攻撃を受け、ITシステムが暗号化されて救急患者の受け入れが不能となりました。救急搬送中の患者が約30km離れた別の病院に搬送先を変更され、治療の遅延により死亡した事例が報告されました。
この事件は、医療機関へのサイバー攻撃が間接的に患者の死亡に繋がった世界初の事例として大きな注目を集めました。医療機関のサイバーセキュリティ対策の強化と、インシデント発生時の臨床業務継続計画(BCP)の重要性を改めて浮き彫りにしました。