マイクロソフト ヘルスケア向けサポート

インターネット接続医療機器生命維持装置を外すための計画

クラウドコンピューティングやモノのインターネット(IoT)といった破壊的技術トレンドを活用して患者ケアを改善する必要性と、機密性の高い医療データを安全に保つことのバランスをどう取るか。
マイク・ジョーンズ
執筆者:
マイク・ジョーンズ
公開日23,2018
医療IoT

医療従事者は岐路に立たされている。クラウドコンピューティングやモノのインターネット(IoT)といった破壊的技術トレンドを活用して患者ケアの質を向上させる必要性と、機密性の高い医療データの安全性を確保することとのバランスを図ろうとしている。

医療分野におけるクラウド技術の採用は昨年倍増し、平均的な医療機関が900以上のクラウドサービスを利用、医療従事者1人あたり1日平均28のクラウドサービスを利用している。しかし、これらのクラウドサービスのわずか7%のみが企業のセキュリティおよびコンプライアンス要件を満たしている。

見通しは?ジュピターリサーチによれば、消費者の生活と記録の急速なデジタル化により、データ侵害のコストは2019年までに2兆ドルに達する見込みだ。

医療分野にとってこれは新たな問題ではない。IBMは2015年を「医療情報漏洩の年」と呼んだが、こうした問題は今も医療組織に年間約60億ドルの損失をもたらし、収束の兆しは見えない。2017年に報告された全データ漏洩の30%以上が医療業界に起因し、その過程で数百万人の個人記録が流出している。

デロイト・トウシュの新たな調査によると、医療専門家たちはこの病を解決する処方箋をまだ完全に見出せていない――インターネット接続型医療機器が大きな懸念事項となっており、こうした機器がもたらすサイバーセキュリティリスクに対して十分な準備ができていると感じる者はほとんどいない。 調査では、医療機器のサイバーセキュリティインシデントに起因する訴訟、内部調査、規制対応などの問題に対処する準備が「十分整っている」と感じている回答者は20%未満だった。さらに、回答者の30%以上が、導入済みおよびレガシー医療機器のリスクを特定・軽減することが業界が直面する最大のサイバーセキュリティ課題だと指摘している。脆弱な接続機器には、ペースメーカー、MRIスキャナー、輸液システムなどの一般的な機器が含まれる。

常時接続は医療分野に大きな可能性をもたらす。医師がモバイルアプリ、ウェアラブルデバイス、タブレット端末を駆使して患者への質の高い医療を提供するケースが増えているからだ。ヒポクラテスも誇りに思うだろうが、この流れは医療ITチームを危険な道へと導いている。あらゆるデバイスがインターネットに接続される中、こうしたウェアラブルデバイスや組み込みシステムを製造する業界は、セキュリティ上の脆弱性を修正するソフトウェアパッチの提供能力がさらに低い。

これらのシステムの製造と販売に関しては、台所に料理人が多すぎる——正確には三人もいる。

  1. 特殊用途向けコンピュータチップメーカー(例:ブロードコム、クアルコム)
  2. システムメーカー(例:オリジナルデバイスメーカー)
  3. 当社に販売するブランド企業(例:FitbitやApple)

レイヤー1は次世代チップの開発に忙殺されている一方、レイヤー2は次世代チップに対応するため自社製品のアップグレードを進めている。旧式チップや製品の維持は優先事項ではない。たとえ最新のFitbitを所有していても、そのソフトウェアコンポーネントは4~5年前のものだろう。その結果、何億台ものデバイスがインターネット上に放置され、パッチ未適用で脆弱な状態にある。ハッカーはこの事実を把握しており、攻撃を開始しつつある。

立法者と規制当局は、これらの企業に対しIoTデバイスのセキュリティ強化を迫ろうとしている。米国食品医薬品局(FDA)は2017年12月、ネットワーク接続型医療機器のサイバーセキュリティに関する指針を発表した。また今月初めには超党派の上院議員グループが、IoTデバイスのセキュリティ基準を設定する法案を提出した。

これまで見てきたように、法律や規制が施行されるまでには時間がかかります。ハッカーは待っていません。あなたも待つべきではありません。こうした急成長するトレンドの真っ只中で、データのセキュリティにおけるギャップをどのように埋め始めるべきでしょうか?

何よりもまず、脆弱性評価を通じて自社にとって何が重要かを理解する必要があります。脆弱性評価は責任のなすり合いをする場ではありません。より安全な未来を計画するために、現在の状況を監査するものです。

脆弱性評価を完了したら、次はデータの保護、侵害の検知、脅威への迅速な対応に取り掛かりましょう。

  • データを保護する:機密データを暗号化し、安全なクラウドへの保存を検討してください。クラウドは金庫のように外部からの侵入を防ぎ、万が一侵入された場合には監獄のようにデータを閉じ込めるべきです。
  • あらゆる侵害を迅速に検知:データ侵害の多くは平均210日間も発見されませんデータを24時間365日守り、侵害を可能な限り早期に検知する技術(またはチーム)を探しましょう。
  • あらゆる脅威に対応する:データ漏洩やブランド評判の毀損を防ぐには、即時対応が極めて重要です。

US Cloudなら、ネットワークとクラウドを保護し、医療組織を新たなサイバー脅威から守ります。ペネトレーションテストや脆弱性評価から、マネージドセキュリティプラン、ハイパーセキュアクラウド、次世代セキュリティツールまで、US Cloudが包括的にサポートします。

マイク・ジョーンズ
マイク・ジョーンズ
マイク・ジョーンズはマイクロソフトのエンタープライズソリューションにおける第一人者として際立っており、ガートナーよりマイクロソフトのエンタープライズ契約(EA)およびユニファイド(旧プレミア)サポート契約に関する世界トップクラスの専門家の一人として認められています。 民間企業、パートナー企業、政府機関における豊富な経験により、フォーチュン500企業におけるマイクロソフト環境の固有のニーズを的確に把握し、解決策を提案します。マイクロソフト製品群に対する比類なき洞察力は、テクノロジー環境の最適化を目指すあらゆる組織にとってかけがえのない資産です。

関連記事

もっと知りたいですか?以下の記事は、今お読みになった内容に関連しています。
US Cloudから見積もりを取得し、マイクロソフトにUnifiedサポートの価格引き下げを促す

マイクロソフトとは目隠し交渉をすべきではない

91%のケースで、米国クラウドの見積もりをマイクロソフトに提示した企業は、即時割引と迅速な条件緩和を得ています。

たとえ一度も切り替えない場合でも、US Cloudの見積もりでは以下が提供されます:

  • マイクロソフトの「受け入れるか拒否するか」という姿勢に挑む現実的な市場価格設定
  • 具体的な節約目標– 当社クライアントはUnifiedと比較して30~50%の節約を実現
  • 弾薬の交渉– 正当な代替案があることを証明せよ
  • リスクフリーの情報収集– 義務もプレッシャーも一切なし

 

「US Cloudはマイクロソフトの請求額を120万ドル削減するために必要な手段でした」
— フォーチュン500企業、CIO