あなたの健康はあなたの財産」という言葉を聞いたことがあるかもしれませんが、これは、米国が2015年だけで3兆2千億ドル以上の医療費を費やしている理由の一つです。

これだけ資金が流れれば、テクノロジー企業をはじめ、多くの企業がヘルスケア市場に参入するのは当然のことです。

医療技術は時に時代遅れと感じられることがありますが、各社はこれらの機器を21世紀に引きずり込もうとする意気込みを持っています。インターネット接続は一見素晴らしい機能のように思えますが、実は意外と危険や問題があるのです。

医療機器は何ですか？

世界保健機関（WHO）は、医療機器を「あらゆる器具、装置、工具、機械、機器、インプラント、体外用試薬、ソフトウェア、材料［...］で、販売者が一つ以上の特定のヒトに［...］使用しようとするもの」と定義しています。医療用」です。

というと難しく聞こえるかもしれませんが、簡単に言うと、医療用に使用される可能性のある機器やソフトウェアのことです。

米国食品医薬品局（FDA）は医療機器の規制を担っており、医療機器をクラスI、クラスII、クラスIIIの3つに分類しています。クラスIの機器は規制が緩やかで、ほとんどの規制はその**と販売方法にのみ向けられています。クラスIIはより具体的な規制が追加され、クラスIIIは人間の生命を維持・支援するための機器に限定されています。

しかし、世界中でよく見られるように、FDAは技術革新のスピードに追いつくのに苦労しています。現代のインターネット接続機器がどのように規制されるべきかについては、これまでほとんど語られてこなかった。

これらのデバイスの安全性を確保するために、**商人はどのような手段を取るべきでしょうか。2016年12月、FDAは医療機器の安全性に関するガイドラインを発表しましたが、このガイドラインには法的な強制力はありません。このため、勧告に従うかどうかは、**商人の判断に委ねられています。

モノのインターネット（医療

これにより、コネクテッド・メディカル・デバイスは、より広範なIoT（Internet of Things）カテゴリーの医療機器と同列に扱われることになります。IoT医療機器には多くの利点がありますが、強制力のある規制がないため、**プロバイダーはその保護に大きなリソースを投資しにくいという現状があります。

これは、モノのインターネットがセキュリティの悪夢となった多くの理由の一つに過ぎません。さらに、医療用IoT機器に命を預けることになるのです。その結果、従来のIoT機器よりもさらに高いリスクを抱えることになります。

医療は、患者さんだけでなく、医療従事者自身にとっても高額な費用がかかるビジネスです。企業は、新しい機器や技術サポートに莫大な費用を請求します。つまり、病院をはじめとする医療施設は、新しいものもあれば古いものもあり、さまざまな運用上の要求があるツールの寄せ集めなのです。古いハードウェア、古いソフトウェア、独自のインターフェースの組み合わせは、プロバイダーのIT部門にとってシステムを適切に保護するための悪夢となります。

例：医療用ポンプのタッピング

Black Hat Europe 2017でSaurabh Haritが示したように、ソフトウェアとハードウェアのインターフェースは、しばしば悪用可能な脆弱性を露呈します。彼は、患者の血液中に薬物を注入できる点滴ポンプを入手し、遠隔でプログラムして操作できるようにした。

オンラインのデフォルトパスワードを使ってポンプの管理モードに入った後、彼はユニットの赤外線とeBayで購入した古いPDAを使って、ポンプのネットワーク設定に自分のWi-Fi認証情報をインポートすることができます。

ハリトはWireshark（オープンソースのサイバーセキュリティツールの一つ）を使ってパケットを調べ、薬の量、医療スタッフ、名前、場所、道順などの患者データを閲覧しました。驚いたことに、処方量を設定・管理する「お薬手帳」までアクセスできてしまったのです。

例を挙げればきりがない。

このような脆弱性がこの1台のポンプに限定されていれば十分衝撃的なのですが、研究者はしばしば新しい脆弱性を発見しています。あるグループは、CTスキャナーという少量の放射線を照射して体内の3次元モデルを作ることができる装置を使って、体内の様子を観察することができました。

2017年8月、米国食品医薬品局はハッキング問題により、アボット社製ペースメーカー46万5000台をリコールしました。アボット社は、50万人近い人々に侵襲的な処置を強いるのではなく、医療従事者がペースメーカーに適用できるファームウェア・パッチを発表したのだ。

2014年に入り、国土安全保障省（DHS）は重大な欠陥が疑われる24台の機器の調査を開始しました。この中には、ホスピーラ社の輸液ポンプ、メドトロニック社およびセント・ジュード・メディカル社の植込み型心臓装置などが含まれます。

劣悪なレガシー医療機器とセキュリティ

オフィスで仕事をしたことがある人なら、多くの企業がレガシーソフトウェアに依存していることをご存知でしょう。そのため、どうしても古いOSやドライバー、周辺機器などが必要になり、安全性が非常に低くなってしまうのです。更新するかどうかの決め手となるのはコストであることが多く、「コストをかけられない」と感じる人も少なくありません。壊れていないなら、直さなくていいんだよ？

企業にとって、サイバーセキュリティを優先することはしばしば困難であり、攻撃がまだ起こっていないのであれば、それは起こらないという考え方が一般的である。残念ながら、医療機関もこの考えと無縁ではありません。2017年5月、WannaCryと呼ばれるランサムウェア攻撃が30万台のコンピューターにほぼ同時に感染し、その多くが英国の国民保健サービス（NHS）のものでした。

ランサムウェアは、国内の40以上のNHSトラストに影響を与え、患者ケアの低下、外科手術の閉鎖、病院の閉鎖にまで至っています。この攻撃の影響で、患者さんは危険にさらされ、データの安全性が損なわれた可能性があります。悲しいことに、マイクロソフトは攻撃の1ヶ月前に、WannaCryの感染を防ぐためのパッチをリリースしていました。更新プログラムが展開されなかっただけでなく、多くのコンピュータがまだWindowsXPを搭載しています。

攻撃の2年前に15年前のOSのサポートが終了していたにもかかわらず、である。

医療機器の未来に狂喜乱舞

テクノロジーは医療を大きく進歩させ続けていますが、NHSが発見したように、テクノロジーは業界の救世主ではありません。ジェレミー・ハント保健相によると、45万人の女性を定期的な乳がん検診に招待しなかった「コンピューターアルゴリズムのエラー」の結果、270人もの女性が死亡した可能性があるという。

技術の進歩の影響を受ける他の多くの分野とは異なり、医療機器は生死に関わる問題です。ムーアの法則により、今後数年でより多くの機器がオンライン化されるため、**安全性はメーカーにとって最優先事項でなければなりません。結局、「**特徴」という表現が極めて正確であれば、デザインする意味がないのです。