インターネットに接続された医療機器の保護

ライオンズとタイガースとベアーズ—オーマイ！

オズの魔法使いのなじみのない風景に到着すると 、ドロシーは、「トト、私たちはもうカンザスにいないような気がします。」と述べました。飛んでいるサル、臓器が不足している仲間、陽気なマンチキン、水を嫌う魔女との出会いはすぐに彼女の新しい常態になりました。

私たちにとって、新しい標準には、インターネットに接続された医療機器と仮想ケアモデルの採用の加速が含まれます。これは、デロイトによって「医療機器、ソフトウェアアプリケーション、および医療の接続されたインフラストラクチャ」として定義される「医療物のインターネット」またはIoMTです。システムとサービス。」

個人消費者と医療提供者の両方からの医療機器に対する世界的な需要は膨大です。米国では、その市場は2019年に1,608億ドルと推定され、2020年には1,760億ドルに達すると予測されています。一方、調査会社Fior Marketsが発表したレポートでは、世界の医療機器接続市場が2019年の16億3,000万ドルから8.76ドルに成長すると予測しています。 2027年のB。

それは生きています！

別の有名な話では、メアリーシェリーのマッドサイエンティストであるバロンビクターフランケンシュタインが、簡単な縫製技術を使用して、生き物のさまざまな体の部分をつなぎ合わせ、19世紀の電気けいれん療法で活性化しました。 21世紀のテクノロジーはまだこの機能を実現していませんが、移植、再付着、補綴、インプラントの多くは「スマート」（つまり接続）であるか、積層造形や3Dプリントツールを使用して製造されています。

このため、IoMTは、他のIoTアプリケーションで見られるものよりも、サイバーフィジカルコンバージェンスのより個人的な側面を表しています。これらは、私たちの親密な物理的な「信頼ゾーン」に入ります。デバイスまたはデバイスの製造プロセスが危険にさらされると、患者の安全とプライバシーに影響を与える可能性があります。このような可能性は、プライバシー、サイバーセキュリティ、および重要なデバイスのパフォーマンスを保護するための倫理的な使用と技術的能力に関する懸念を生み出しました。

IoMTインフラストラクチャを効果的に管理するには、次のような多くの移動する、多くの場合自律的な部分を考慮する必要があります。

• 製造プロセスにおける品質管理。
• 複数のデバイスに保存されている医療情報の相互運用性。
• クラウドストレージとソフトウェアプラットフォームへの依存。
• ネットワーク通信の監視。
• 医療専門家の期待に応えます。

IoMTはますます私たちの生活の一部となっています。データのプライバシー、デバイスの整合性、サイバー復元力を医療機器や機器の設計と製造に組み込むことが不可欠です。

誰に電話しますか？

ゴーストバスターズのエキセントリックな科学者 歓迎されない見物人を探し出すために超心理学的なトリックを使用しました。標準とガイドライン ¹ 医療機器メーカーは、コラボレーション、品質問題、リスクとセキュリティの管理、ユースケースのシナリオに取り組み、医療機器の予期しない「幽霊のような」行動を特定して根絶するための実践の概要を説明します。これは、「設計どおり」および「構築済み」のデバイスパフォーマンスの制御を強化するのに役立ちます（「使用済み」のデバイスの制御がよりわかりにくい場合でも）。

自主的な組織である国際医療機器規制当局フォーラム（IMDRF）は、医療機器サイバーセキュリティワーキンググループを結成し、2020年3月に「医療機器サイバーセキュリティの原則と実践」を発表しました。

このドキュメントでは、企業内のサイバーセキュリティについては取り上げていませんが、製品のサイバーセキュリティの回復力を強化し、脆弱性を修正し、設計/開発、製造、テスト、およびサポート/市販後の監視段階を通じてリスクを軽減する医療機器メーカーの責任について説明しています。トータル製品ライフサイクル（TPLC）。メーカー向けの推奨事項には、以下に対処するためのTPLCサイバーセキュリティ管理計画の作成が含まれます。

• 状況認識。
• 脆弱性の開示。
• 更新と修正。
• 回復。
• 製造元が開示された脆弱性について常に情報を入手し、特定した脆弱性を共有しているという証拠。

特に有用なリスク管理手法の1つは、脅威のモデリングです。 Open Web Application Security Project（OWASP）は、製造業者が設計および開発中に次の4つの質問をすることを推奨しています。

1. 何を構築していますか？
2. 何がうまくいかない可能性がありますか（たとえば、どのように攻撃される可能性がありますか）？
3. それについてどうしますか？
4. 十分な仕事をしましたか？

パフォーマンス要件の定義からサービスへの提供（およびサービスからの撤退）まで、TPLC全体で医療機器のサイバーセキュリティ回復力を計画および構築することで、信頼に値する製品が得られます。

彼らはHeeeeeereです！

ポルターガイスト 商業的で利益に基づく活動が倫理的で人道主義的な懸念を無視し、意図しない結果や付随的な損害につながる近道をとるときに生じる混乱を調査します。利害関係者コミュニティは、大統領政策指令21（PPD-21）で特定された16の重要インフラセクターのうちの2つに該当する医療機器製造セクターにおけるそのような混乱を防ぐためのイニシアチブに協力しました：ヘルスケアと公衆衛生、および重要な製造。さらに、2015年に、米国議会は2015年のサイバーセキュリティ法（CSA）を可決しました。これには、医療業界のセキュリティアプローチを調整するための要件が​​含まれています。

米国保健社会福祉省との官民パートナーシップであるヘルスケアおよび公共部門調整評議会の合同サイバーセキュリティワーキンググループは、以下を含む医療機器メーカーの技術的なベストプラクティスをリストしています。

• 攻撃対象領域を最小限に抑えます。
• 安全なデフォルトと構成を確立します。
• 監査と説明責任を維持します。
• 最小特権、職務の分離、多層防御の原則に従います。
• 安全に失敗します。
• セキュリティをシンプルに保ち、セキュリティの問題を正しく修正します。

NIST SP 800-171のセキュリティ制御要件に取り組んだことのある人なら誰でも、上記のベストプラクティスの要約に含まれている14の制御ファミリの要素を認識できます。それらは試され、真実であり、盲目的信託ではなく情報に基づいたものであるための基本です。

医療機器に関して、悲惨な近道を防いだり、悪意のあるファントム（またはリス）を含んだり、マルチノードデバイスソリューションをつなぎ合わせたりすることは、私たちの新しい常識です。幸いなことに、テクノロジーとのより安全でより深い関係に移行することができます。 IoMTムービースクリプトをさらに掘り下げて、コンポーネントパーツ、それらがどのように相互作用し、事故を回避するかを理解する必要があります。

このブログは、National Cyber​​security Awareness Month（NCSAM）のために公開されたシリーズの一部です。このシリーズの他のブログには、Celia Paulsenによるセキュリティ文化の創造、接続した場合、Zane Pataliveによる保護、Suspicious Minds：PatTothによるビジネスのハッキングの可能性がある非技術的兆候およびErikによる接続デバイスの未来が含まれます。 FoglemanとJeffOrszak。

---

^{1例：医療情報進歩協会（AAMI）-https：//www.aami.org/medical-device-manufacturer;食品医薬品局-https：//www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity#guidance;国際電気標準会議（IEC）-https：//www.iec.ch/perspectives/government/sectors/medical_devices.htm;国際標準化機構（ISO）-https：//www.iso.org/iso-13485-medical-devices.html; Underwriters Laboratories（UL）-https：//www.ul.com/resources/healthcare-standards-directory}