mgineer Blog

スマート医療機器を保護して患者の安全性を高める

2020年5月12日

Carlos Alberto Rodriguez 筆者:Carlos Alberto Rodriguez
 マキシム・インテグレーテッド、マイクロ、セキュリティ、およびソフトウェア事業部門ビジネスマネージャ 


COVID-19の世界的パンデミックの中で、物理的距離のガイドラインによって医師に電話またはオンラインでの患者診察が求められるため、ヘルスケア専門家の間で遠隔医療の勢いが高まっています。スマート、コネクテッド医療機器は、この趨勢の中で役立つツールです。たとえば、バイタルサインの継続的な、リアルタイムの監視を提供するウェアラブルは、患者と医師の両方にとって健康に関する知見の宝庫となります。しかし、あらゆるIoT機器と同様、スマート医療機器(およびそれらが収集する患者の機密データ)も、保護しなければセキュリティ脅威に対して脆弱です。

医療機器の脆弱性の1つの領域は、これらの機器の一部で使用される通信プロトコルに関するものです。このブログ記事では、この点についてさらに詳しく検討し、物理的複製防止機能(PUF)技術がどのように堅牢な保護を提供することができるかを説明します。

IoT通信プロトコルはセキュリティが弱い場合がある

Allied Market Researchによる調査では、全世界のIoTヘルスケア市場は2021年までに1,368億ドル規模に達すると予想され、2015~2021年の年平均成長率は12.5%に相当します。HealthTech誌が述べているように、「今日のインターネット接続機器は、効率の向上、医療コストの削減、およびヘルスケアの収益性改善の促進を目的に設計されています。コンピューティングパワーとワイヤレス機能の向上によって、組織は医療系モノのインターネット技術の可能性を活用しています」。

SAM Seamless Networkのレポートによると、IoTの分野では、セキュリティカメラシステムが最も頻繁にハッキングされ、それに続くのがスマートハブおよびネットワーク接続ストレージ機器です。多くの場合、満杯になるとアラートを送信するスマートゴミ箱の例のように、インターネットで伝送される情報はそれほど重要でも機密でもありません。しかし、ヘルスデータのような、私たちの生活の中で最も重要な情報となると話は別です。データの保存および伝送時に盗難、改変、破壊、または傍受されないことを確保する必要があります。

多数の通信プロトコルが現状のIoTを実現しています。これらのプロトコルは、それぞれIoTの4つのタイプの伝送チャネルを実現するために使用されます。

  1. 機器間(D2D)
  2. 機器-ゲートウェイ間
  3. ゲートウェイ-データセンター間
  4. データセンター間

図1. 標準的なIoTシステムアーキテクチャは、機器、ゲートウェイ、およびデータシステム(つまり、クラウド)で構成される。図1. 標準的なIoTシステムアーキテクチャは、機器、ゲートウェイ、およびデータシステム(つまり、クラウド)で構成される。

WiFi、Bluetooth Light、およびLoRaは一般的なプロトコルの例ですが、これらにはセキュリティ機能がかなり弱いという面もあり、機密情報を共有する上で十分な安心感をユーザーに与えるものではありません。スマート医療機器のようなアプリケーションの場合、追加の保護の層を備えることがきわめて重要です。より堅牢なセキュリティが必要になる例をいくつか見ていきましょう。

2017年に、米国食品医薬品局(FDA)は、認証鍵をバイパスしてRF通信を行うことが可能なセキュリティホールの恐れがあるとして、50万台近いペースメーカーをリコールさせました。通信の確立後、ペースメーカーはワイヤレスで無制限の数の「RFウェイクアップ」コマンドを受信して、バッテリの消耗を早める可能性がありました。また、ペースメーカーが患者の心拍数を増減するコマンドを受信し、不明な発信源に完全な制御を与える可能性もありました。さらに、このリコールの対象となった一部のモデルは、他の機器へのデータの保存または転送時に患者の情報を暗号化していませんでした。そのメーカーは後日アップデートを公開し、リスクを最小化するためにデータの暗号化、オペレーティングシステムのパッチ、およびネットワーク接続をディセーブルする機能を追加しました。

2018年に、FDAは、脆弱性のあるインスリンポンプをリコールさせましたが、それはハッカーによるインスリン投与量の増減やポンプの設定変更が可能というものでした。これは高血糖/低血糖につながり、さらにそれが発作、めまい、頭痛、あるいは死さえ引き起こす可能性がありました。また、攻撃者は機器内の機密データにアクセスすることもできました。前述のペースメーカーの場合と同様、認証および権限付与の手段が適正に実装されておらず、RF通信が漏洩していました。

図2. インスリンポンプは、セキュリティ脅威に関してリコールされた医療機器の例である。(画像提供:Hdc Photo/Shutterstock)図2. インスリンポンプは、セキュリティ脅威に関してリコールされた医療機器の例である。(画像提供:Hdc Photo/Shutterstock)

PUF技術では、盗むべき鍵が存在しない

上記のような例を見ると、メーカー各社はセキュリティをどれだけ真剣に考えているのか、特に顧客がリスクに晒される場合、製品のセキュリティ障壁を強化すべきではないかという疑問を感じざるを得ません。幸いなことに、セキュリティホールの緩和に役立つ多数の新しい技術があります。PUF技術はそうした例の1つです。PUFはICの複雑かつ変動する物理的および電気的特性から導かれます。PUF技術は製造プロセスの中で生じるランダムな(そして予測不能および制御不能な)物理的要素に依存するため、複製またはクローンは事実上不可能です。PUF技術が関連IC用に生得的な形で生成するデジタル指紋は、認証、識別、偽造防止、ハードウェア-ソフトウェア紐付け、および暗号化/復号で使用されるアルゴリズムをサポートするための固有の秘密鍵として使用することができます。この固有の鍵は、人間のDNAのようなものと考えることができます。通常の動作条件下では、効果的なPUF実装は本質的に不揮発性で、バッテリやその他の永続的電源を必要としないものです。回路は物理検査に対する耐性を備え、鍵は暗号操作に必要なときにのみ生成すべきです。

マキシムのPUF技術はChipDNA技術と呼ばれ、さらに堅牢です。マキシムのPUF回路は、基本的なMOSFETデバイスで自然に発生するランダムなアナログ特性を使って暗号鍵を生成します。各PUF回路によって生成される固有の2進値は、温度、電圧、およびデバイスの経年にわたって再現性があることが保証されます。この固有の値は、チップ上には保存されません。この点が、NOR/NANDフラッシュなどの不揮発性メモリや、バッテリバックアップSRAMなどの特殊な外部メモリチップに秘密鍵を保存する従来の多くのセキュリティ実装と異なります。代わりに、ChipDNA PUF技術では、秘密鍵はPUF回路が必要とするときにのみ生成され、不要になると消滅します。また、ハッカーがPUFベースのデバイスに対する侵入型物理攻撃の実行を試みると、その攻撃自体がPUF回路の電気的特性を変化させるため、攻撃がさらに妨げられます。言い換えると、存在しない鍵を盗むことはできないのです。

セキュアブート内蔵DeepCover®セキュアArm® Cortex®-M4マイクロコントローラのMAX32520は、PUF技術を採用した業界初のセキュアマイクロコントローラです。ChipDNA PUF技術以外に、MAX32520は以下のものを提供します。

  1. タンパー検出回路:範囲外の値に対する定常的な環境検査(電圧、温度など)、およびダイシールドの内蔵によってプロービングを防止
  2. サイドチャネル攻撃防止:ソフトウェアでランダムなイベントを発生させることでノンデターミニスティックな動作になるためリプレー攻撃や鍵探索方式の妨害が不要
  3. セキュアブートローダ:コード実行前にフラッシュの完全性を検証およびセキュアフラッシュアップロード前にソースを認証
  4. 高度な暗号化:FIPS SP-800-90BおよびSP-800-90A準拠のTRNG、AES-256、ECDSA-512、およびSHA-512を実装

MAX32520は、スマート医療機器内の機密情報を保護するための最も高度なセキュリティを提供し、設計にデバイスを統合する作業をスマート化します。

このブログ記事は、最初にElektronik Informationenの3月号にカバーストーリーとして掲載された記事を再編集したものです。