LOGO

医療のデジタル化に取り組む人のための情報サイト

富士フイルムビジネスイノベーション、医療機器に潜むリスクを可視化・一元管理

掲載日:

富士フイルムビジネスイノベーション ビジネスソリューション事業本部 マーケティング部 サービス企画グループの沼田理恵マネージャー(左)と荒川はるな氏

医療DX(デジタルトランスフォーメーション)の進展やサイバー攻撃リスクの高まりを背景に、医療機器管理の在り方が大きく問われている。「院内は閉域網だから安全」という常識はもはや通用しない。ネットワーク接続機器の増加やシステムの複雑化により、現場ではリスクの全容を把握しきれないという課題が顕在化している。求められているのは、院内の機器全体像を正確に把握し、リスクや稼働状況を可視化・評価しながら、対応の優先順位を判断できる管理体制だ。

富士フイルムビジネスイノベーションが提供する「IT Expert Services IoMTデバイスマネジメントサービス」は、院内の医療機器やネットワーク機器の情報をダッシュボード上で多角的に可視化し、現場運用や経営判断の新たな管理アプローチを提示する。

ネットワーク化が進む医療現場で、機器管理やセキュリティー体制はどうあるべきなのか。富士フイルムビジネスイノベーション・ビジネスソリューション事業本部マーケティング部の沼田理恵マネージャー、荒川はるな氏、高田温氏に現場の課題と今後の対応策を聞いた。(医療テックニュース編集部 編集長 米谷知子)

サイバー攻撃の現実と医療機関の脆弱(ぜいじゃく)性

医療機関を狙ったサイバー攻撃は深刻化している。大阪急性期・総合医療センター(865床)はVPN(仮想私設網)装置経由で攻撃を受け、被害額は億単位にのぼった。規模を問わず、同様のインシデントは頻発している。

要因の1つは、医療機器やサーバーOS(基本ソフト)が更新されないことによる脆弱性だ。警視庁の調査でも、過去5年で海外からの無差別通信が3倍に増加、IoT機器を狙う通信も増えている。特にIoMT(医療分野のIoT)デバイスの約14%がサポート切れOSで稼働し、画像診断機器では3台に1台が該当するという。

また、米国CISA(サイバーセキュリティー・インフラセキュリティー庁)の悪用確認済み脆弱性リストの63%が医療ネットワークに該当し、IoMTの23%がこのリストに登録された脆弱性を抱えているという。古い機器やアップデートが行き届かない環境が、医療機関のセキュリティーリスクを高めている。

サイバー攻撃の脅威(富士フイルムビジネスイノベーション提供)
サイバー攻撃の脅威(富士フイルムビジネスイノベーション提供)

厚生労働省のガイドラインが求める管理レベルと現場のギャップ

厚生労働省は「医療情報システムの安全管理に関するガイドライン 第6.0版」を公表し、医療安全確保のための台帳管理や衛生管理の徹底を呼びかけている。ガイドラインのチェックリストでは、従来の電子カルテ端末やサーバーにとどまらず、生理学的検査機器や画像機器など多様な医療機器も管理対象とすべきとの方針が示されている。

こうした要請の背景には、医療情報部門が管理できる範囲と、診療科など部門ごとで独自運用する機器との間で管理体制のギャップが生じていることがある。

医療情報部門では資産管理ソフトの導入やアンチウイルスソフトの運用、EDR(デバイスの状況を監視し、不審な振る舞いを検知・対処するソリューション)などによる対策強化が進む一方、放射線科、薬剤科、検査科などの機器や部門ネットワークは管理の手が行き届きにくく、いわゆる“白地”領域が残りやすい。

ここにセキュリティーホールが生じ、最終的に医療情報部門の領域までリスクが及ぶ恐れがあると指摘されている。

管理が行き届きにくい“白地”領域(富士フイルムビジネスイノベーション提供)
管理が行き届きにくい“白地”領域(富士フイルムビジネスイノベーション提供)

米調査会社の調査によると、IoMTを含むネットワークデバイスを十分に可視化できていない医療機関は60%に及ぶという。日本国内でも、多くの医療機関がネットワーク接続デバイスのリスク管理の必要性を認識しているものの、実際は「台帳管理・可視化」(下図Phase2)ができていないケースがほとんどだ。

また、Excel(エクセル)などで台帳を人海戦術で作成したとしても、年度ごとに機器の更新や入れ替えが発生するため、すぐに陳腐化してしまう課題があり、可視化の維持に苦労する病院が多い。特に台帳管理のスコープは、医療情報部門が管理している端末に限定されやすく、診療科ごとに独自管理されている機器は、十分な可視化や管理が行き届いていない。

サイバーセキュリティー成熟レベル(富士フイルムビジネスイノベーション提供)
サイバーセキュリティー成熟レベル(富士フイルムビジネスイノベーション提供)

厚生労働省のガイドラインでも、台帳管理による可視化を「ゴール」にせず、さらに一歩進んで、可視化した機器が適切な環境で使われているか評価し、問題があれば対応・改善まで継続して取り組むことが求められている。しかし、現場では、こうした段階まで進めている医療機関は限られるのが実情だ。

「ガイドラインと現場の実態には大きなギャップが存在している」という沼田氏
「ガイドラインと現場の実態には大きなギャップが存在している」という沼田氏

院内機器を多角的に可視化するIoMTデバイスマネジメントサービス

「IT Expert Services IoMTデバイスマネジメントサービス」は、「見えない医療機器の可視化」から、リスクの把握、対策の提案・運用までを一気通貫で支援するサービスだ。
管理者はクラウド上の専用プラットフォームにログインすることで、院内全体の機器の稼働状況やリスク情報を、いつでもどこからでもリアルタイムに把握・管理することができる。

サービスの特長の一つは、病院内のネットワークのコアスイッチや部門ごとのスイッチなどの要所に専用の収集サーバーを設置し、そのサーバーがネットワーク上を流れる通信データをミラーリングして受け取る仕組みにある。これにより、診療に影響を及ぼさずに、導入することができる。

収集サーバーで収集した通信データは、先進技術を用いて解析され、IT部門の管理が及んでいなかった機器や、従来把握が難しかった機器まで一元的に「見える化」できる。CT(コンピューター断層撮影装置)やMRI(磁気共鳴画像装置)など、どのような医療機器があるのか、そのメーカー名や型番、OS、使用状況といった詳細情報も自動的に判別され、クラウド上のセキュリティープラットフォームに反映される。

また、得られた情報は単に一覧化されるだけでなく、モデル名、OS情報等をもとに、関連する脆弱性情報やMDS2(医療機器のセキュリティー情報開示文書)、リコール情報なども自動的にひも付けて表示される。これにより、最新の公表情報を含めた多角的なリスク管理が可能となっている。

「IoMTデバイスマネジメントサービス」導入イメージ(富士フイルムビジネスイノベーション提供)
「IoMTデバイスマネジメントサービス」導入イメージ(富士フイルムビジネスイノベーション提供)

この仕組みを実現するうえで重要なのが、ネットワーク通信に含まれる「プロトコル(通信規格)」の解析技術である。医療機器が発信する通信データには、メーカーや機種、OS、稼働状況などさまざまな情報が含まれているが、その表現方法は機器やメーカーごとに異なり、統一されていない。

IoMTデバイスマネジメントサービスは、200種類を超える医療系プロトコルに対応できる独自の識別技術を備えており、欧米を中心に3000病院以上での導入実績を持つ。こうした多様な機器やネットワーク環境でも柔軟に情報を読み取り、もし未対応のプロトコルが見つかった場合も、順次開発・追加する体制が整っている。

プラットフォームのUI(ユーザーインターフェース)も分かりやすく設計されている。管理者がクラウドにログインすると、トップページでは病院内ネットワークにつながる全デバイスが、医療機器や医療システムなどの「IoMT」、UPSや火災警報パネルなどの設備系機器の「OT」、監視カメラや決済端末などの「IoT」、パソコンやサーバーなどの「IT」といったカテゴリーごとに自動で分類・表示される。

各デバイスは、モデル名やシリアル番号、IPアドレス、MACアドレス、OSやファームウエアのバージョン、ネットワーク接続状況など、通信解析から得られた詳細情報を個別ページで確認できる仕組みとなっている。

さらに特長的なのは、機器ごとに自動計算されるリスクスコアの表示だ。このスコアでは、サイバー攻撃を受ける可能性(脅威度)と、攻撃された場合のインパクト(被害の大きさ)が分かりやすく示されるだけでなく、プラットフォームがリスクを低減するために推奨される対策も具体的に提案してくれる。管理担当者は可視化されたデータから現状を評価し、どの機器からどのようにリスクを減らしていけばよいのか、優先順位をつけて効果的な対応策を検討できる。

「危険度に応じ優先順位をつけて対処することで、院内の機器管理を着実に強化できる」という高田氏(左)と荒川氏(右)
「危険度に応じ優先順位をつけて対処することで、院内の機器管理を着実に強化できる」という高田氏(左)と荒川氏(右)

移動式やハンディータイプなど多様な医療機器も含め、メーカーや機種を問わず一元的に管理できる点は、現場の管理担当者からも高く評価されているという。

また、プラットフォームは個別機器ごとの状況だけでなく、病院全体のリスク傾向やアラート発生状況を多角的かつ視覚的に把握することも可能だ。

データ表示例(富士フイルムビジネスイノベーション提供)
データ表示例(富士フイルムビジネスイノベーション提供)

運用面でのサポートも充実している。四半期に一度、院内に接続されている機器の構成やリスクレベル、アラート発生状況などをまとめた定期レポートを提供するほか、日本語での問い合わせに対応するサポートデスクや、教育プログラムも用意されている。

また、本プラットフォームは外部のセキュリティーソリューションとのAPI連携にも対応している。例えば、連携可能なEDR製品をすでに導入している場合、これらと連携させてアラート情報をプラットフォーム上で一元的に管理するといった運用も可能だ。

こうした連携機能により、既存のセキュリティー運用基盤とも組み合わせて、院内全体をより効率的かつ効果的に管理できるサービスとなっている。

本サービスは単なる「可視化」にとどまらず、リスク評価・対策提案・他システム連携・運用最適化までを視野に入れた統合型プラットフォームとして設計されている。

さいたま赤十字病院、非管理であった4000台の可視化を実現

さいたま赤十字病院(638床)では、IT資産管理ツールでパソコンやサーバーなどを管理していたが、院内には各部門で独自に導入・管理されている機器も多く、病院全体で実際にどれだけの機器が稼働しているのか把握しきれないという課題があった。

IoMTデバイスマネジメントサービス導入後は、それまで管理対象外だったIoMTデバイスも含め、4000台のネットワークデバイスを可視化できるようになった。また、脆弱性のある機器の特定や、通知されるアラートの内容を通じて、メンバーがリスクや対策への理解を深めるきっかけにもなっているという。

導入事例 さいたま赤十字病院(富士フイルムビジネスイノベーション提供)
導入事例 さいたま赤十字病院(富士フイルムビジネスイノベーション提供)

石巻赤十字病院、7部門連携で更新・保守コストを最適化

石巻赤十字病院(460床)では、7部門で機器情報やリスクを共有している。IoMTデバイスマネジメントサービスは、医療機器の通信状況から稼働データを取得できるため、「何曜日の何時によく使われているか」といった利用傾向や、検査数の推移、撮影部位ごとの使用状況なども把握できる。これらの情報をもとに、機器更新時に、必要台数や保守契約内容の妥当性を検討するといった実践的な使い方が広がっている。

生理検査課では、半年以上未使用の心エコーを特定し、購買部門と連携してその機器の更新は行わず、保守契約を延長し、運用の最適化を図った。さらに、曜日ごとの検査実施状況から業務の偏りや残業要因も明らかになり、働き方や業務効率の見直しにも活用している。

また、従来はBCP(事業継続計画)一覧表など別管理していたインシデント発生時の連絡先、担当者情報なども統合し、一元管理によって非常時の対応力や情報参照の迅速化も実現している。

導入事例 石巻赤十字病院(富士フイルムビジネスイノベーション提供)
導入事例 石巻赤十字病院(富士フイルムビジネスイノベーション提供)

DX時代に求められる医療機器管理の在り方

いまだに「院内は閉域網だから安全」と考える経営層は少なくないが、ネットワーク接続なしでは最新技術やリモート保守の恩恵を受けられず、コストや対応速度に差が生じる。セキュリティー対策に終わりはないが、まず必要なのは、院内全体の機器とリスクを正確に把握することだ。

IoMTデバイスマネジメントサービスは、可視化によるリスク評価と優先順位づけを可能にし、セキュリティー対策だけでなく、資産管理やコスト削減にも貢献する。今後は他院の事例も踏まえ、可視化データをもとした活用や対策支援をさらに広げていくという。

関連記事