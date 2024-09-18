医療従事者は、患者情報に関連する技術的、管理的、物理的保護措置を導入してきましたが、医療機器のセキュリティ保護にはそれほど熱心ではありませんでした。これらのデバイスは重要であり、病院をサイバー攻撃の危険にさらし、患者ケアに大きな混乱を引き起こす可能性があります。
実際、米国保健福祉省によると、昨年は8800万人が大規模な情報漏洩の影響を受け、膨大な量の保護されるべき電子健康情報（ePHI）が漏洩しました。今年も、Change Healthcare社、Kaiser Permanente社、Ascension社など、複数の大手医療提供者が再びサイバー攻撃の影響を受けました。「ロンドンの検査・診断サービスの主要プロバイダーであるSynnovis社が、ランサムウェア攻撃の被害に遭い、広範囲にわたって混乱が生じた」とHalcyonが報告しました。攻撃は、Guy's Hospital、St. Thomas' Hospital、King's College Hospital、Evelina Children’s Hospital、Royal Brompton Hospital、心肺治療を専門とするHarefield HospitalおよびPrincess Royal Hospital in Orpingtonを含む複数の病院に影響を与えたとThe Guardian紙は報じています。
Statista社のレポートによると、世界の病院の総数は2029年までに166,548カ所に達すると予想されています。HIPAA Journalによると、病床あたりの接続された医療機器の平均数は約10～15台です。このデータは、2029年までに世界中で167万台の接続された医療機器が存在し、その多くは設計段階からのセキュリティーを考慮しないまま製造されることを示唆しています。Ponemon InstituteとProofpoint社の調査によると、医療組織の89%が1週間に1回近くの攻撃を経験しています。組織の53％がサイバーセキュリティーの問題に対処するための社内専門知識が不足していると回答しているため、リスクはさらに深刻化しています。病院内に膨大な量の医療機器が接続されていることを考えると、これらの数字は驚くべきものです。
IBMニュースレター
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
医療機器は患者の健康を監視するように設計されていますが、病院のネットワークへのハッカーの主要な侵入口になる可能性もあります。医療従事者は電子医療記録（EHR）のセキュリティを強化していますが、ハッカーは医療機器を標的にしています。これにより、医療機器のセキュリティーは「コード・ブルー」状況に陥っています。例としては、次のようなものがあります。
レガシー機器：現在も使用されている多くの古い医療機器は、サイバーセキュリティを念頭に置いて設計されていません。多くの場合、古いソフトウェアを実行しているため、脆弱なエントリー・ポイントが発生します。
規制のギャップ：食品医薬品局（FDA）（以下FDA）は近年、医療機器規制の強化に大きく舵を切りましたが、医療機器メーカーや医療従事者によるコンプライアンスにはまだ一貫性がありません。
セキュリティ・プロトコルの欠如：多くの医療機器は堅牢なプロトコルを持たずに設計されているため、攻撃者の標的になりやすくなっています。
複雑さ：医療機器は複雑なシステムであり、セキュリティを確保するのが難しい場合があります。これは、複数のコンポーネント、インターフェース、接続オプションがあるためです。
相互運用性の要件：医療機器は他のシステム、デバイス、ネットワークと通信する必要があるため、セキュリティー・リスクが生じます。
リソース不足：一部の医療機器メーカーは、適切なセキュリティ管理を実施するためのサイバー専門知識を持っていません。
サプライチェーンのリスク：医療従事者は、医療機器ネットワークとサプライチェーン全体にわたって、エンド・ツー・エンドの可視性が限られていることが多く、適切な検知と対応が制限されています。
医療機器のこれらの脆弱性に対処することは、医療従事者のネットワーク・レジリエンスを大幅に強化し、サイバー攻撃のリスクを軽減できます。
ハッカーにとって理想的な標的となる医療機器の例としては、次のものがあります。
重要なのは、医療従事者がリスクを軽減し、患者の安全を確保するために、病院内のインフラストラクチャー上で相互接続された医療機器の安全性を確保することです。
医療従事者は生成AIを活用することで、医療機器のセキュリティを強化し、サイバーセキュリティーを強化し、患者ケアの質を向上させることができます。主なストラテジーには以下のようなものがあります。
コンプライアンス・モニタリング：生成AIを使用してHIPAA（医療保険の相互運用性と説明責任に関する法律）やその他の規制基準への準拠を確認する。
脅威インテリジェンス：大量のデータを分析し、医療機器に対する潜在的な脅威を検知して対応し、医療従事者に警告を配信するために、生成AIを採用する。
データ・プライバシー：生成AIで処理する前にePHIを匿名化し、トークン化を組み込むことで患者情報の外部への拡散を回避することで、HIPAAコンプライアンスの確保する。
トレーニング：医療提供者向けにAI駆動のサイバーセキュリティ研修を作成し認知度を高め、セキュリティリスクを最小限に抑え、コンプライアンス要件を満たすことを目指します。
パッチ管理：効率的なAI駆動型パッチ管理システムを導入し、最も重要な脆弱性に最初にパッチが適用され、医療機器がタイムリーなソフトウェア・アップデートを受けられるようにします。
インシデント対応：AIを使用してデータを分析し、潜在的な攻撃のパターンを特定することで、意思決定を改善するための洞察をアナリストに提供し、アラートの分析に費やす時間を短縮します。
最後に、医療業界は医療機器のデジタル接続に依存しています。医療機器メーカーは従来、設計段階からセキュリティを重視したアプローチを採用してこなかったため、そのことが病院のネットワーク・インフラストラクチャーにリスクをもたらしています。攻撃者はこれを利用してランサムウェア攻撃を成功させ、病院のオペレーションを停止させたり、その他の種類のサイバー攻撃を行ったりしています。医療従事者は、サイバーセキュリティーのベスト・プラクティスを実施し、生成AIの力を利用して患者ケアの質を向上させ、最終的には患者の命の安全を確保することで、医療機器のセキュリティーを大幅に改善できます。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
IBMが主要プレイヤーに選ばれた理由をご覧になり、組織のニーズに最適なサイバーセキュリティー・コンサルティング・サービス・ベンダーを選択するための洞察を得ることができます。
世界有数の企業向けセキュリティー・プロバイダーが提供するソリューションで、セキュリティー・プログラムを変革します。
サイバーセキュリティー・コンサルティングやクラウド、マネージド・セキュリティー・サービスでビジネスを変革し、リスクを管理しましょう。
AIを活用したサイバーセキュリティー・ソリューションで、セキュリティー・チームの俊敏性、精度、生産性を向上させます。
データ・セキュリティー、エンドポイント管理、IDおよびアクセス管理（IAM）ソリューションのいずれが必要であっても、IBMのエキスパートはお客様と協力して、高度なセキュリティー体制を実現します。サイバーセキュリティー・コンサルティング、クラウド・セキュリティー・サービス、マネージド・セキュリティー・サービスなど、業界の世界的リーダーとして、事業の変革とリスク管理を支援します。