ポンプシステムのセキュリティー実装

 2018年8月にアメリカ国立標準技術研究所(NIST)は、医療機関が薬物注入ポンプシステムを利用する際の実装例を示した(「NIST SPECIAL PUBLICATION 1800-8」として公開されている)。官民が連携して開発した、無線薬物注入ポンプシステムにおけるセキュリティー実装の知恵を集めたものになる。デジサートを含む民間のセキュリティー企業も参画した。

 薬物注入ポンプシステムは、薬物注入ポンプとポンプサーバーで構成されており、両者が連携して患者に投薬する。ポンプサーバーは医療機関内のネットワークと接続し、投薬の速度や量をコントロールし、投薬の進捗を看護師に教えるように設定できる。

 無線薬物注入ポンプは、無線通信でポンプサーバーから指示を受けて動作する。その機器を構成するOS(オープンソースソフトウエアを含む)やミドルウエア、通信アプリ、通信用LSIなどは第三者が作成したものである。

 長期間にわたり利用される薬物注入ポンプでは、脆弱性に対するセキュリティー更新の仕組みも含めて考えることが重要になる。そこで、リスク要因を洗い出し、薬物注入ポンプを長期間運用する際に関係者の知見を集めて作られたのが、今回のベストプラクティス(最良慣行)になる。他の医療IoTデバイスを実装する際にも適用できるものだ。

 実際のベストプラクティスには、組織のセキュリティーへの指針やネットワーク・セキュリティーの対象ユーザーごとの構成、脆弱性対策プランの作成方法からデータ保管方法に至るまで幅広いセキュリティーの提案が網羅されている。各機器の設定方法も含めると英語で250ページを超える文章だが、IoT化する機器を実装する医療機関や医療機関向けシステムを開発する企業の参考になるだろう。

 IoT機器はパソコンやタブレット端末、携帯機器などの機器に比べて使用環境や使用年数が種類によって異なるため、同じようなセキュリティー対策を適用できない場合がある。IT部門や情報システム部門では既知の手法も多く含まれているが、IoT機器のセキュリティー手法について以下で解説する。

図1 無線薬物注入ポンプシステムにおけるセキュリティー実装(出所:デジサート)
[画像のクリックで拡大表示]

 デジサートのPKI(公開鍵基盤)もベストプラクティスにおいて複数の役割を果たしている。例えば(1)看護師が薬物注入ポンプへの設定をする際の認証に使われる。薬物注入ポンプを操作する権限を持つ看護師のみが電子証明書を格納したカードなどをスキャンするなどして電子証明書を提示すると、薬物注入の設定ができるようになる。

 この他に(2)無線薬物注入ポンプが持つデバイス証明書にもPKIが活用されている。ポンプサーバーと接続するたびに、デバイス証明書を使って認証し、外部から持ち込んだ薬物注入ポンプを利用できないようにしている。もし証明書が偽造されたり、失効されたりしたものであった場合には、証明書エラーで接続が拒否される。

 (3)通信を暗号化するためのSSL/TLSサーバー証明書もある。ポンプサーバー側に設定されており、一般にWebサイトで暗号化通信を行うSSL/TLSサーバー証明書と同じ仕組みで動作する。これにより通信が暗号化されるので、もし通信を傍受しても解読することが困難になる。前述したデバイス証明書がないと通信できないため、権限を持たない第三者がこの通信に入り込むことは現実的に不可能である。

 脆弱性が見つかった際には、(4)アプリなどのアップデートのプログラムやデータへの署名にも使われる。電子証明書の一種の「コードサイニング証明書」を使う。プログラム更新の際に証明書による保護の仕組みがなければ、リスクが生じる恐れがある。なぜならハッカーがシステムを乗っ取る際に利用するマルウエアやコンピューターウイルスは、この更新プログラムの仕組みを利用して仕込まれることがあるからだ。

 マルウエアによる乗っ取りが成功してしまうと、そのシステムを利用して内部の情報を自由に操作したり、他のシステムを攻撃したりできてしまう。薬物注入ポンプのメーカーがプログラムを更新する際には、信頼された認証局が発行する証明書でプログラムに署名されたもののみが実行できるようにすることが重要になる。薬物注入ポンプやポンプサーバーが生成するデータも固有の証明書で署名しなければならない。もし改ざんされれば無効になるため、データが正しいかどうかも証明できるのだ。