MITSF第3回セミナー 医療現場のサイバーセキュリティ問題 〜IoT時代の到来を迎えて〜 2015年4月25日 公立大学法人会津大学 特任教授 山崎 文明 [email protected] 命にかかわる医療機器のセキュリティ インスリンポンプの遠隔操作など 人命に関わる事件・事故の懸念 国内でもコンピュータウイルス感染 事故は既知の事実 確実に進化する院内LAN 不容易なUSBメモリーの接続 持ち込みPCのLAN接続 複合機など意外なインターネット接続 Copyright ©2015 Fumiaki Yamasaki All rights reserved. 1 メディカル・ハッカソン ハッカソン(hackathon)とは ハッキング(hack)とマラソン(marathon)の混成語 寝袋持参、24時間から数日間で集中的にハッキング 優勝チームには賞金授与 Medical × Security Hackathon 2015 会津磐梯山 2015年3月7日(土)〜8日(日) 「医療セキュリティハッカソン神戸」と同時開催 23名 5チーム Copyright ©2015 Fumiaki Yamasaki All rights reserved. 2 メディカル・ハッカソン 発見された脆弱性 212件 脆弱性内訳 総合健康管理システム(電子カルテ/病院情報/健康管理)2件 汎用画像ビューア 17件 電子医療記録システム(電子処方箋/医療課金) 192件 HER(Electric Health Record)ソフト 1件 Copyright ©2015 Fumiaki Yamasaki All rights reserved. 3 想定される脅威 情報漏えい システムの内部情報の漏洩 個人情報の漏洩 情報改ざん 医療画像データの改ざん 診療や請求に関するデータなどの改ざん ルート権限の奪取 システム停止・誤動作 踏み台 Copyright ©2015 Fumiaki Yamasaki All rights reserved. 4 メディカル・ハッカソンは所詮ハッカソン ハッカソンの結果がすべてではない たまたま見つかった脆弱性 属人性の排除と人材育成 網羅性の保証をどうするか 検査(証明)レベルの設定? Copyright ©2015 Fumiaki Yamasaki All rights reserved. 5 医療分野を対象とした脆弱性検査制度の必要性 医療機器のIoT化が急拡大する今が最後のチャンス デバイスメーカーの企業文化を変える必要がある デバイスメーカーの責任の明確化 “利用者責任にしない“ 物理層からアプリケーション層までの確実なセキュリティ確保 制御システム(OS)の脆弱性検査 アプリケーションの脆弱性とバグ検査 “ホワイトボックス試験” ファームウェアを含めた更新時の確実な認証機能 脆弱性試験の義務化と確実なリコール体制の確立 出荷前の既知の脆弱性への確実な対応 出荷後の新たな脆弱性への確実な対応 “医療機器DB” 事故調査を確実にするソースコードのエスクロー制度 利用者の確実な補足と連絡手段の確保 “利用者DB” Copyright ©2015 Fumiaki Yamasaki All rights reserved. 6
© Copyright 2024 ExpyDoc
