サイバー攻撃にも“処方箋”はある、医療システムに対する脅威軽減のヒント

　医療システムの進歩はソフトウェアに負うところが大きいが、そのために医療機器ソフトウェアの脆弱性が悪用されるリスクも高まっている。しかも、現代の医療機器ソフトウェアは複数の既存コンポーネントで構成されており、この複雑性が脆弱性の排除を困難にしている。さらに、従来はスタンドアロンだった医療機器も、近年は接続性が求められており、これも脅威リスクを高める一因となる。

　実際、欧米では近年、医療機器に対するサイバーセキュリティ規制の強化方針が打ち出されており、こうした動きがグローバル規模で加速されていく可能性も指摘されている。こうした情勢に無理なく対応するには、幾つかのベストプラクティスがあるという。

　本資料では、そのアプローチとして、脅威分析モデルSTRIDEを例に、「なりすまし」「改ざん」「否認」「情報漏えい」「サービス拒否」「特権の昇格」と、脅威を6つのカテゴリーに分類し、それぞれの攻撃手法および防御策について解説していく。また、医療システムを狙うサイバー攻撃事例やサイバー規制などの現状もまとめられているので、情報収集にも役立つだろう。