• TOP
  • 特集一覧
  • シャドーOTへの備えを:医療機関の事例にみるIoT活用の課題
2018/08/29

シャドーOTへの備えを:医療機関の事例にみるIoT活用の課題

メイン画像

ITとOT(Operation Technology)の融合は、IT関係者が想定していた以上に、急速に浸透しています。ITは、当初非常に高価な投資であり、企業は部署ごとではなく社全体における支出として優先順位を定め、効率的に管理していました。時を経た現在、ITは高価なものでなくなり、企業内での各部署や個人単位での購入、レンタルやサービス利用も一般的になりました。こうした背景のもとに生じた問題が、個人や各部署が企業全体を統括するIT部門の許可を得ずにITを使用する状況、いわゆる「シャドーIT」です。そして今、OTもまたITがかつて辿ったのと同じ状況に直面しています。

米国北東部の病院では、看護師たちが回診にIoTを活用することを決めました。看護師は、患者の便通および皮膚湿潤度を検知するパッドを大部屋内の30のベッドに設置し、ナースステーションから遠隔で見守るモニターを取り付けました。そして数時間ごとに各部屋を回診する代わりに、患者の状況を遠隔から一元的に見守ります。この試みは、患者のケアを向上させることに成功しました。看護師たちは、何事もなく就寝する患者の邪魔をすることなく、対応が必要な患者のみ迅速に対処できるようになり、事務作業や治療の準備など他の業務に費やす時間を確保できるようにもなったのです。

このようなIoTデバイスは、小売店では50米ドル(2018年8月1日時点、約5,600円)かそれ以下と非常に安価で販売されています。一方、米国の「食品医薬品局(Food and Drug Administration、FDA)」が認定する「スマートホスピタルベッド」の価格は1万~4万米ドル(2018年8月1日時点、約112万~448万円)となります。通常の医療機関用ベッドは、6千米ドル(2018年8月1日時点、約67万円)です。

看護師たちにすれば、IT費用として、スマートホスピタルベッドと通常の医療用ベッドの差額、一台あたり4千米ドル~3万米ドル(2018年8月1日時点、約45万~336万円)を追加請求することはほぼ不可能ですが、一台あたり50米ドルのIoTデバイスの追加であれば、そもそも承認を得ることや追加費用の精査すら不要と考えるでしょう。

看護師たちのこの試験的な取り組みは成功を収め、病院全体で1千台以上のベッドにIoTデバイスがセンサとして組み込まれることになりました。これらのIoTデバイスは、Wi-Fi経由の通信を行い、この際、従来の医療機関内のネットワークを使用しません。そして、経営側の指示により、IT部門がこれらのIoTデバイスを管理することとなりました。IT部門にとっては、この指示は寝耳に水の話であり、突如新しい技術への対応が求められました。

以前から「シャドー IT」について、以下のようなリスクが挙げられています。

・機器やサービスの利用が適切に管理されておらず、コンプライアンス規定に違反する恐れがある
・各企業の情報セキュリティの一環として統合されておらず、情報システムへの攻撃経路を増やす恐れがある
・IT部門によって計画的に行われた実装ではないため、BCP(Business continuity planning,事業継続計画)に含まれておらず、災害時の復旧が適切に行われない恐れがある
・企業内で全体最適化されたアーキテクチャの一部でないため、余分な費用を生み出す恐れがある

OTについてもこれと同じことが言えます。IoTを使えば、部門の予算範囲内で、自部門の中にセンサ、アクチュエータ、プログラム可能な分析装置にいたるOTシステム一式が実装可能です。一方で、こうしたIoTの採用は、企業内におけるガバナンスやセキュリティ、集中管理体制、アーキテクチャと関係なく機能しているのが実情です。こうした「野放し」のOTは、いずれITが辿ったのと同じ道を歩むこととなるでしょう。

IT部門は、シャドー ITを阻むことはできませんでした。従業員はIT部門の承認を無視し、ビジネスメリットの創出という名目で、個人のPCに自前のWi-Fi通信、安価なストレージデバイスを持ち込み、無料のオープンソースソフトウェアや個人向けクラウドサービスを利用して業務を遂行しています。

各企業のIT部門(今後OTのセキュリティ責任を担う部門)は、こうした過去のシャドーITの経緯を踏まえ、OTにおける戦略を組み立てるべきでしょう。ただし、ビジネスメリットの創出というプラスの側面が検討されることなく、IoTの利用が管理者側から全面的に禁止されてしまうと、企業としての競争力強化の機会を知らず知らずのうちに失ってしまうことも懸念されます。

IoTをはじめとする新たなテクノロジーを自組織に取り入れるか否かの判断基準は、ユーザにとっての利便性やセキュリティ強度ではなく、それらの利用が自社の「ビジネスに対して有益かどうか」です。検討の結果、テクノロジーの利用が見送りになることも、もちろんあり得ます。

今回の事例のように、IoT の活用がビジネスレベルで有効と判断された場合は、ビジネスに貢献し、リスクを最小化するためのセキュリティを実装することが管理者の役割となります。そして、そのためには、新たなシステムにおいて守るべき情報を明らかにし、守るべき情報の価値に応じたセキュリティを実装する必要があります。

従業員は、新たなツールやサービスの利用による利便性を得る代わりに、その上でやり取りされる情報の価値を理解し、その情報保護に責任を持つ必要があります。IoT とセキュリティはもはやビジネスと切り離せないものであり、適切なセキュリティのリテラシーを持つことは、従業員の業務遂行時の条件であるべきです。

システムやソフトウェアに精通した人材には、適切に選択できるようにツールやトレーニングを提供します。IT部門は、適切に各部署とコミュニケーションを図ることで、技術ポートフォリオの全体的なセキュリティと管理を改善し、次に必要な対策や対応すべき事項などを把握することが可能となります。

セキュリティ管理者は、企業内の情報資産の価値を可視化すると同時に、その重要度に応じたセキュリティのベースラインを設定し、レベル毎の対策規定を定める必要があります。また、従業員のセキュリティリテラシーを高めるための教育と同時に、一方的な取り締まりではなくユーザの実状を理解し、最適な状態へ導くためのセキュリティルールの設定やアドバイスを行うことも重要です。

システムへのセキュリティ実装では、扱う情報のレベルに応じて最低限コントロールすべき項目と可視化すべき項目を明確にします。検討の結果、禁止する行為については、ユーザの実状を踏まえた上で、適切な代替手段を提供することで、ビジネス上の利用目的を阻害せず、「シャドーOT」によるセキュリティリスクの増大を防ぐことができます。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop