MITコース「コンピューターシステムのセキュリティ」。 講義15：医療ソフトウェア、パート1

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3



すべての人に挨拶します。90年代にMITで勉強しましたが、再びここに戻ってうれしいです。 今日は、わずかに異なるタイプのセキュリティについて説明し、技術的な部分は別として、このセキュリティの広範囲にわたる結果について説明します。 お知らせしますが、私自身はミッドナイトコフィーハウスクラブの出身で、画面に表示されるマサチューセッツ大学アマースト校はミシガン州にありますが、キャンパスほど大きくはありません。







今日は、私たちの研究の一部についてお話しし、医療機器の除細動器の爆発からプライバシーの問題に至るまでのすべてについて議論します。 これは、主に私の元大学院生の研究分野の1つに関連するものであり、ここで紹介する写真では、植込み型除細動器の消毒を行っています。



次のスライドは、これらの研究に参加した多くの人々のリストを示しています。医療機器の安全性に関する現在の規定をさまざまな観点から要約してみます。 また、この講義では、利害の対立の可能性に関するこのテンプレートのスライドを含める必要があります。これで、私の考えの潜在的な偏見について学ぶことができます。 しかし、私は普通の人よりも偏見が少ないと考えたいと思います。



約1年前、興味深いイベントが開催されました。 FDA、食品医薬品局は、ソフトウェアの実装に関してだけでなく、メーカーがサイバーセキュリティ、または私たちが呼んでいるセキュリティと機密性の順守を確認することを示すドラフト文書を発行しました医療機器を提供するだけでなく、プログラムの最初の行が書かれる前でさえ、このソフトウェアの開発に関して。







したがって、これが医療機器メーカーのコミュニティの考え方にどのように影響したかについてお話します。 最後の医療ソフトウェア設計ガイドはほんの数週間前に出されましたが、私たちは最近、これについてFDAが主催するビデオ会議に参加しました。 合計で、650人以上がこの会議に参加しました。 ここで学んでいる概念のいくつかをクラスで適用する方法に関して、医療機器のメーカーにとって興味深いことがたくさんありました。



しかし、それは本当に難しいです。 このサイトでの質問の1つは、安全性がどれほど重要かを理解するために、医学界の文化をどのように変えるかということでした。 このスライドはこれを示しています。







このスライドには、無菌の創始者の一人であるイグナズ・センメルワイス博士が、医師は手を洗わなければならないと言っています。 彼はアメリカの産科医のチャールズ・メイグスに反対され、「医師は紳士なので、常に清潔な手を持っている！」



今朝誰が手を洗ったのですか？ まあ、私はマサチューセッツ研究所を認識していません！ 165年前、有名な産科医イグナズセンメルワイスがいて、「産後敗血症」と呼ばれる病気を研究していました。 そして彼は、午前中に遺体安置所で働いていた医学生が患者のもとに行くと、原則としてこれらの患者がより頻繁に死亡することを発見した。 彼は、医師が死体を扱った後に手を洗えば、助産中の出産後の死亡率ははるかに低くなるという結論に達しました。 そのため、医師は手を洗うことを勧めました。 しかし、この提案に対する医師のコミュニティの反応は、主に産科医のチャールズ・メイグスの意見によって表現されました。彼はすべての医師は紳士であり、常に清潔な手を持っていると主張しました。



ある程度まで、今日のセキュリティに対する態度は似ているので、これはそれほど驚くことではありません。 私たちの会話を通して、私はこれといくつかの類似点を引き出そうとします。

このテーマに関する資料が多すぎるため、いくつかの項目をスキップします。 しかし、まず第一に、私は尋ねたいです-あなたの誰が医者になるつもりですか？ いや？ 良い、良い、その場合は、カクテルを飲みながら友人の医師と話をすることができます。



埋め込み型医療機器について少しお話します。 この物を手に持たせます。安全です。舐める必要はありません。 これは元患者の植込み型除細動器です。 実際、これらのデバイスはすでに約50年前のものであり、最初の心臓除細動器が登場し始めました。 当時、彼らは外部にいて、患者はこの装置を前にカートを押して、隣に強力な看護師を置かなければなりませんでした。







数十年が経過し、除細動器は体内に完全に埋め込まれるほど小さくなりました。 スライドには、誘導結合を使用する「ワンド」と呼ばれるものの画像があります。 技術的には、ワイヤレスであり、配線はありません。 デバイスは、毎分60拍の心拍数を提供するようにプログラムされています。



セキュリティ研究者として、2003年頃にワイヤレス技術とネットワークを使用して渡した除細動器の外観に興味がありました。 ネットワークはグローバルコンピューティングにより多く使用されているという事実に慣れているので、ここで何がうまくいかないのだろうかと考えました。



幸いなことに、医療企業にもこの問題を懸念している多くのエンジニアがいますが、ここではセキュリティにはまったく異なる考え方が必要です。 そして、この考え方がどのように変わったのかをお話しします。



これらのデバイスの1つを分解すると、操作を制限する膨大な数のデバイスが見つかります。 したがって、複雑なエンジニアリングの問題が必要な場合は、これらのデバイスのいずれかを分解するだけです。 除細動器の半分以上の容量が非常に大きなバッテリーで占められており、費用は4万ドルです。 また、銀金属-酸化バナジウムを使用しています。



マイクロコントローラーは刺激装置の上部にあり、通常は除細動器制御装置と通信するためのアンテナを備えています。 これらはすべて密閉され、身体に埋め込まれます。







電子機器の最も厳しい動作条件の1つについて話している。 体内のバッテリーを充電したい場合は、幸運を祈るしかありません。 バッテリーは充電時に熱とガスを充電することを知っていますか？ したがって、そのようなデバイスを設計する場合、重大な制限があり、セキュリティを追加することは非常に困難です。



ただし、医療機器をワイヤレスで管理するのには非常に良い理由があります。 正当な理由はありますが、重大なリスクがあります。 これを説明するために、最初の埋め込み型除細動器がどのように見えるかを見てほしい。







これはミネアポリスのメドトロニック博物館の除細動器です。 右側にどんな小さな金属シリンダーがあるのか​​、誰でも推測できますか？ その機能は何ですか？ アンテナ？ コントロール？ 管理は非常に近い推測です！ 他の提案はありますか？



この「突起」は、除細動器を制御するために無線通信が出現する前に使用されていました。 以前は、デバイスの設定を変更するために、医師は次のように述べました。「患者さん、手を挙げてください。 脇の下に針を刺し、心拍数変更ダイヤルをひねります。」



したがって、無線通信の主な利点の1つは、体内に入る異物が多いほど感染の可能性が高くなるため、体内に入る異物の数を実際に減らすことです。 これは重大なリスクです。 実際、インプラントの1％は深刻な合併症を引き起こし、約1％は致命的です。 したがって、感染制御は、デバイスの埋め込みと交換を行う際に確認する必要がある最も重要なものの1つです。



もちろん、あなたが他の極端に行き、どこでも無線通信を確立したいと言うだけなら、あなたは他のタイプのリスクを受け取るでしょう。 私はそれをベーコン無線理論と呼びました。 中西部出身の母は、ベーコンがすべてを良くすると言った。

そのようなソリューションの危険性を考慮せずに、どこでもワイヤレスを使用しているように見えるデバイスメーカーがあることに気付きました。 これには利点がありますが、この機能をかなり安全でないデバイスに追加する前に戦略的に考える必要があります。 たとえば、時間の経過とともにどのようなリスクが生じるかを考えてください。



インターネットネットワークについてはあまり語りませんが、この引用は言及に値すると思います。 コスタコンコルディアがイタリア沖の船を覚えている人はいますか？ 彼の船長は、「最近では、最新のツールとインターネットのおかげで、すべてがはるかに安全になりました。」と言いました。 これは宇宙からのフレームで、転覆した船を示しています。







したがって、インターネットとワイヤレスを医療機器に追加すると、新たなリスクにさらされます。 しかし、あなたはこれを恐れてはいけません、あなたは負の結果の可能性のコントロールを提供する必要があります。



医療機器の典型的な操作がどのように行われるか、臨床ケアでどのように使用されるか、どのように考えを変えることができるか、安全性の観点から進める場合、リスクについてどう考えるべきかを写真で示したいと思います。 最初に、本当の脅威がなく、安全な方法、危険な事故、および意識的な妨害行為なしの過失のみが存在する世界について話しましょう。







FDAは、ミス、誤動作、損傷、および死亡のデータベースを保持しています。 これはオープンな情報であり、自分で見ることができます。 このサンプルはMAUDEと呼ばれます-「メーカーと消費者によるデバイスの使用経験」。



このスライドでは、「容量注入ポンプ」と呼ばれるデバイスを使用する場合について説明します。このデバイスは、静脈から体内に薬物を機械的に注入するデバイスです。 この場合、患者は死亡しました。このテキストを注意深く見ると、悲劇の原因の1つがバッファオーバーフローであることがわかります。 最初の講義のバッファオーバーフローについてはご存知だと思います。 そのため、これはコンピューターテクノロジーを使用するあらゆる分野で現実に起こります。







この特定のケースでは、ソフトウェアエラーのチェック中にバッファオーバーフローが検出されましたが、そのようなエラーに対する反応は、ポンプをオフにすること、つまり、セーフモードにすることでした。 しかし、ソフトウェアの作成者は、一部の患者にとって、ポンプの停止が死刑判決であるという事実を考慮していませんでした。 そのため、この患者は頭蓋内圧の上昇とそれに続く脳死の後に死亡し、これはすべてバッファオーバーフローが原因で起こりました。



複雑なことは何もありませんよね？ ソフトウェアでバッファオーバーフローを発生させたくないことはご存知のとおりです。この場合、外部からの影響はありません。 これは、少なくともその特定のデバイスのソフトウェアの状態を単に示しています。 これは非常に難しい作業です。



もう1つのセキュリティ上の課題は、人的要因を考慮する必要があることです。 問題のこの側面に焦点を当てているいくつかの大学がありますが、私の意見では、十分ではありません。 したがって、私は自分の人生経験に依存しています。



私の妻は私に匿名のままにするように頼んだので、私は彼女の名前を明かしません。 私の妻のスライドで、奥に輸液ポンプがあり、子供はまだ妻の中にいます。 幸いなことに、ポンプは正常に機能しました。 一般に、ポンプは医療を提供するのに優れていますが、さまざまな種類の機能不全により、500人以上の死者を出しました。







そのため、別の不具合についてお知らせします。 次のスライドは、ポンプの埋め込み可能なビューを示しています。 薬剤のストックを補充できる半透膜と、看護師または医師が投与量を変更するために使用するユーザーインターフェイスがあります。



誰かがあなたが薬の量を服用している場所を見ていますか？ 目を細める必要がありますよね？ この図をよく見る必要があります。

。





ここでは、6番下で、ボーラスを投与することを示しています。 ボーラスとは、20分12秒を超える、薬の1日量を徐々に投与する時間であり、これはすべて注入されるため、患者は薬を投与するプロセスを感じません。



このユーザーインターフェイスは、FDAが以前のバージョンのインターフェイスを取り消し、さらなる開発が必要になった後に発効しました。 思い出す前に、このポンプの制御インターフェースのパラグラフ6では、8つの重要な要素が欠落していました。HH：MM：SS、これらは時間、分、秒です。







この指定がないとどうなると思いますか？ この場合、測定単位を間違えたり、桁違いに間違えたりすることは非常に簡単です。



この患者にとって残念なことに、彼のポンプは誤ってプログラムされていたため、薬は24時間ではなく24分で投与されました。 このエラーは、入力された数字（時間、分、秒）の指定がないために発生しました。 これは患者の死後に初めて発見されました-医療機関を去り、彼は深刻な自動車事故に遭い、後に彼の家族が医療生命維持システムをオフにすることに同意したという事実のために死亡しました。







技術的な観点から見ると、問題は非常に簡単ですよね？ インターフェイスに「ラベル」はありませんでした。 しかし、ここではヒューマンファクターを追跡するのは非常に簡単ですが、エンジニアリングプロセスのスポットライトでは常に目に見えるとは限りません。 しかし、これはソフトウェアに依存するデバイスの信頼性を向上させる上で非常に重要な要素です。 したがって、ソフトウェアに重大な影響がない場合でも、ソフトウェアの開発時には人的要因を考慮することをお勧めします。



プログラム管理のエキサイティングな世界についても話したいです。 このスライドには、コンピューターがソフトウェアの更新を受け取るたびに表示されるこれらの小さなダイアログボックスをすべてまとめていますが、それはすべてバックグラウンドで行われます。 私のiPhoneのように、絶えずアップデートを受け取っており、「より強く」なっています。 医療機器もソフトウェアの更新を受け取りますが、原則として、従来のコンピューティング機器と違いはありません。 彼らは単にあなたの体の重要な機能を制御します。



約4年前に発生した興味深い事例が1つあります。 病院、特にMcAfeeで使用されるウイルス対策ソフトウェアを製造している企業があります。 そのため、Windowsの次の重要な更新で、このウイルス対策は悪意があると見なし、検疫し、システムを分離することにしました。 これにより、コンピューターが緊急再起動され、画面にBSODが表示されました。



その結果、レジストリシステムが適切に機能しなかったため、銃弾による負傷などの深刻なケースを除き、病院は患者の受け入れを停止しました。



そのため、臨床ケアはソフトウェアの機能に大きく依存しており、セキュリティの役割を忘れることがあります。



マイクロソフトは、オペレーティングシステムの最大の開発者として、多くのユーザーに大きな影響を与えています。 信じられないかもしれませんが、Windows XPを実行している医療機器はまだ多くあり、半年前にサポートを停止しました。 したがって、このOSはセキュリティ更新および機能更新を生成しないため、このOSを使用しないでください。 これは時代遅れのソフトウェアです。 しかし、これまで、医療機器にはWindows XPがプリロードされた新しいコンピューター機器が引き続き供給されています。



この状況では、ソフトウェアのライフサイクルはわずかに偏っています。 オープンソースソフトウェアの更新プログラムを毎日ダウンロードすることに慣れているが、医療機器について考えるのは良いことです。 1年以内に拒否することはできません。20年間使用できます。 したがって、20年間の運用に適したソフトウェアを見つけることは非常に難しく、まるで宇宙に飛び込むようなものです。



1か月前、FDAは、メーカーに期待するものに関するガイドをリリースしました。 ソフトウェア開発者向けのプロジェクトと考えてください。







医療機器のすべての要件を述べると、メーカーは安全問題、すべてのリスク、およびそれらをどのように軽減するかをどのように考えているかをメーカーに尋ねます。 残留リスクとは何ですか、つまり、解決できない問題とは何ですか？ 理想的には、製造業者または開発者が考えられるすべてのリスクとそれらを軽減する方法を検討することを期待しています。



ソフトウェア管理の観点から見ると、医療スタッフは誰も責任のある承認されたユーザーではないため、何も起こり得ません。 しかし、現在では、メーカーが製品に安全性をより良く統合できるように設計された推奨事項があります。 だから私たちはそのような問題について有益な議論をする時間を費やしていると思います。



これで、セキュリティの問題の議論に移ることができ、講義のコンテキストの外にあるものに関係のないものを残すことができます。 ( : , , , ).







, , , . , , , , . , , . , , , .



, , , , . ? , . , . , , -, , . . , . , , .



, , , . , Wand, . , , , 802.11.



90 . , , . , , . — , .







, , . , , . . - – , , . , USB-, ?







, , . , , « ». .







, , «», , . , , , : « , , ».



, – , .



, , , « » . , : «, »!



. , , , , , , .



, , , , , , , , . . , 10 , . , , .







, , , . ? ? , « ». , , . 10 USRP GNU. , .







, , . . , 500. . 32 , .



, . , , , , , . , , ? , , . « ». , , , , . , , .



, , . , .



. , , .



. , , .



, – . , , , .



, Beth Israel Deaconess. . . , , , .



, :



«, Windows XP SP1, SP2 SP3, 0+15+1 600, 16, »! : „, , , 600 Windows XP“.



, , . , , , Windows XP 15 .







, . , , , , .

, 12 , . 1 , .



25:00



MITコース「コンピューターシステムのセキュリティ」。 15: « », 2





コースの完全版はこちらから入手できます 。



, . 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？