[レポート]福島/セキュリティハッカソン、医療ソフトウェアに対する脆弱性調査のイベントを開催 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.03.24(日)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事

[レポート]福島/セキュリティハッカソン、医療ソフトウェアに対する脆弱性調査のイベントを開催

2014 年 2 月 27 日 (木)、28 日 (金) に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter Vol.4 / Medical × SecurityHackathon 2014」が開催された。アルツ磐梯で本イベントが開催されるのは 2 回目となる。

研修・セミナー・カンファレンス セミナー・イベント
2014 年 2 月 27 日 (木)、28 日 (金) に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter Vol.4 / Medical × SecurityHackathon 2014」が開催された。アルツ磐梯で本イベントが開催されるのは 2 回目となる。

このイベントは、経済産業省 東北経済産業局 平成 25 年度地域新産業集積戦略推進事業として支援を受けて開催され、医療従事者をはじめ、大学生や開発者やセキュリティエンジニア、デザイナーなどが参加し、医療に関するアイデアやセキュリティの問題解決を行い、情報共有を行うことで創発的なコミュニティを築き上げることを目的としている。

「Medical × Security Hackathon」では、医療系のアプリケーションを開発する「メディカルハッカソン」と、医療系ソフトウェアの脆弱性を調査する「セキュリティハッカソン」の 2 競技を行う。どちらも 24 時間という限られた時間の中で自分たちの持てる力を最大限発揮して優勝を競い、優勝者には 10 万円が贈呈される。

「メディカルハッカソン」は、本大会で優勝したチームがアメリカで開催された Health 2.0 San Francisco 2013 Developer Challenge に出場し、見事優勝の成績を収め世界一の称号を手にした実績のあるイベントだ。「セキュリティハッカソン」は、昨年重大な脆弱性が発見されたこともあり前回よりも参加者が増え、2回目の開催に注目が集まった。

競技ルールは、一般にヘルスケア用途として利用されているソフトウェアに対して、制限時間内で脆弱性調査を行うというもので、医療業界に対して、セキュリティ対策の意識付けや、その重要性を訴えかけることを主な目的としており、最後にプレゼンテーションを行い優勝者が決定する。

このハッカソンは、アルツ磐梯スキー場のゲレンデ全体が会場となり、標高約 1,300m の山の上でもハッカソンを行うことが可能だ。また、サブイベントとして本格的なドローンの空撮や、セキュリティエンジニアたちによるショットガンファイト (映画「ソーシャルネットワーク」内で行われた遊び) 等が開催された。

ハッカソン競技の前には講演のセッションがあり、一般財団法人 日本品質保証機構 の中里俊章氏 が「医療機器ソフトウェアとセキュリティ TC62 における国際規格等の動向」という題目でプレゼンテーションを行い、医療機器のセキュリティに対する課題を熱弁した。

セキュリティハッカソンは、国内のみならず、海外でも広く利用されている 3 つの医療ソフトウェアを対象とした。対象ソフトウェアの中には、米国 HIPAA 法 (Health Insurance Portability and Accountability Act) に準拠し、世界中の約 15,000 の医療機関、45,000 を超える開業医に利用されているようなものや、日本全国で 13,000 施設を超える医療機関で利用されているものもあった。対象ソフトウェアは、オープンソースであり、Web サイトからソースコードを入手することが出来る。

参加者は、実際のソフトウェアの動作を確認するためにネットワーク越しに主催者が用意したサーバにアクセスしたり、ソースコードを解析するなどして脆弱性を探す。

競技の 2 日目午後に猪苗代湖の磐梯観光船かめ丸にて、参加者によるプレゼンテーションが行われた。参加者によるプレゼンテーションでは、それぞれの知識や技術を発揮した結果が発表され、セキュリティハッカソンの発表では、主催者が指定した医療ソフトウェアに多数の脆弱性が報告された。発見された脆弱性は、パストラバーサルの脆弱性、SQL インジェクションの脆弱性などが多かったが、中には任意のコードが実行できるような深刻な脆弱性も存在した。優勝は千田雅明氏で、前回に引き続き 2 回目の優勝となる。

千田氏は「診断したソフトウェアは、悪意のあるユーザからの攻撃といった、セキュリティの一般的なシナリオを想定しておらず、製品の設計段階からセキュリティを考慮するよう働きかけが必要だ。」と述べた。なお、発見された脆弱性については、適切に開発者に報告されるという。

主催者によると、組み込み系の機器に対するセキュリティが今後の課題となるという。2014年の秋に薬事法が改正され、医療機器・ソフトウェアも薬事法の対象となる。条文の中に「安全性等に関する責務又は役割を課すこと」という記述もあり、IPA(独立行政法人 情報処理推進機構)等でも医療機器に関するセキュリティに注視しているので、安心して機器を使用するためのセキュリティは今後の必須課題になるだろうと述べた。

Health 2.0 Fukushima Chapter及び、セキュリティ・メディカルハッカソンは、すでに来年の開催が決定しており、2015年2月28日(土)から3月1日(日)を予定している。

(株式会社 Eyes, JAPAN)

株式会社 Eyes, JAPAN : 日本で最初のコンピュータ・サイエンスの単科大学、会津大学の元事務局通訳翻訳員と現役の学生たちで1995年9月に設立
《株式会社 Eyes, JAPAN》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「PowerDNS Authoritative Server」にDoS攻撃を受けるなどの脆弱性(JPRS) 画像

「PowerDNS Authoritative Server」にDoS攻撃を受けるなどの脆弱性(JPRS)
iOSアプリ「an」に、情報漏えいの脆弱性(JVN) 画像

iOSアプリ「an」に、情報漏えいの脆弱性(JVN)
「簡易CMS紀永」にシステム上の情報の取得や改ざんをされる脆弱性(JVN) 画像

「簡易CMS紀永」にシステム上の情報の取得や改ざんをされる脆弱性(JVN)
Intelが複数製品のアップデートを公開、対応を呼びかけ(JVN) 画像

Intelが複数製品のアップデートを公開、対応を呼びかけ(JVN)
月例セキュリティ情報を公開、10種の製品を更新(IPA、JPCERT/CC) 画像

月例セキュリティ情報を公開、10種の製品を更新(IPA、JPCERT/CC)
サーバへの攻撃が増加、WordPressへの攻撃も2018年12月に急増(JP-Secure) 画像

サーバへの攻撃が増加、WordPressへの攻撃も2018年12月に急増(JP-Secure)

インシデント・事故 記事一覧へ

不正アクセスによる改ざんで情報調査室ホームページと文献情報総合検索システムが2ヶ月間停止(広島大学高等教育研究開発センター) 画像

不正アクセスによる改ざんで情報調査室ホームページと文献情報総合検索システムが2ヶ月間停止(広島大学高等教育研究開発センター)
不正アクセスで手帳アプリ「Lifebear」のアカウント情報が流出の可能性(ライフベア) 画像

不正アクセスで手帳アプリ「Lifebear」のアカウント情報が流出の可能性(ライフベア)
市内中学校の教諭が個人情報を含んだ授業ファイル1冊を紛失(尾道市) 画像

市内中学校の教諭が個人情報を含んだ授業ファイル1冊を紛失(尾道市)
予約システム「Coubic」に不正アクセス、登録された個人情報が流出(クービック) 画像

予約システム「Coubic」に不正アクセス、登録された個人情報が流出(クービック)
個人情報を含む「動物返還申請書」の一部を紛失(神奈川県) 画像

個人情報を含む「動物返還申請書」の一部を紛失(神奈川県)
「OSHIMA PROJECT~53万坪の土地を活かせ!~IDEA CONTEST」でメール誤送信、応募者のアドレスが流出(公募ガイド社) 画像

「OSHIMA PROJECT~53万坪の土地を活かせ!~IDEA CONTEST」でメール誤送信、応募者のアドレスが流出(公募ガイド社)

調査・レポート・白書 記事一覧へ

お勧めIoTセキュリティガイドライン5種--診断レポート(ラック) 画像

お勧めIoTセキュリティガイドライン5種--診断レポート(ラック)
ネット世論操作の現状とこれから ~ アメリカ上院情報活動特別委員会に提出された 2 つのレポート:第 2 回「 IRA はネット広告代理店のように活動している ~ New Knowledge 社が暴いた IRA の 12 の戦術」 画像

ネット世論操作の現状とこれから ~ アメリカ上院情報活動特別委員会に提出された 2 つのレポート:第 2 回「 IRA はネット広告代理店のように活動している ~ New Knowledge 社が暴いた IRA の 12 の戦術」
IoT機器へのエクスプロイトが急増--脅威レポート(フォーティネットジャパン) 画像

IoT機器へのエクスプロイトが急増--脅威レポート(フォーティネットジャパン)
サイバー保険の認知率、サイバー攻撃への危機意識とともに調査(日本損害保険協会) 画像

サイバー保険の認知率、サイバー攻撃への危機意識とともに調査(日本損害保険協会)
個人の不正払い戻しの被害は減少傾向が続く(全銀協) 画像

個人の不正払い戻しの被害は減少傾向が続く(全銀協)
検出ゼロの22%、攻撃を可視化できていないだけの可能性(エフセキュア) 画像

検出ゼロの22%、攻撃を可視化できていないだけの可能性(エフセキュア)

研修・セミナー・カンファレンス 記事一覧へ

x86 アーキテクチャの不可解な「仕様」 画像

x86 アーキテクチャの不可解な「仕様」
車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省) 画像

車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省)
西本逸郎の最近の頭の中 画像

西本逸郎の最近の頭の中
民間対民間のサイバー時代の終焉 ~ サイバーリーズン エバンジェリスト 増田幸美氏 画像

民間対民間のサイバー時代の終焉 ~ サイバーリーズン エバンジェリスト 増田幸美氏
「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事 画像

「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事
法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた 画像

法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた

製品・サービス・業界動向 記事一覧へ

「ドコモ・クラウド基盤」向けにIoTセキュリティソリューションを提供(ドコモ、トレンドマイクロ) 画像

「ドコモ・クラウド基盤」向けにIoTセキュリティソリューションを提供(ドコモ、トレンドマイクロ)
5G対応次世代ファイアウォール(パロアルトネットワークス) 画像

5G対応次世代ファイアウォール(パロアルトネットワークス)
McAfee MVISIONをMicrosoft TeamsにAPIで統合(マカフィー) 画像

McAfee MVISIONをMicrosoft TeamsにAPIで統合(マカフィー)
CIS Controlsをベースにセキュリティ対策の効果測定を行うサービス(NRIセキュア) 画像

CIS Controlsをベースにセキュリティ対策の効果測定を行うサービス(NRIセキュア)
疑問その3「クラウドのセキュリティ = CASB?」~日商エレに聞く、CASBとクラウドセキュリティの疑問 画像

疑問その3「クラウドのセキュリティ = CASB?」~日商エレに聞く、CASBとクラウドセキュリティの疑問
「中小企業の情報セキュリティ対策ガイドライン」を2年4カ月ぶりに改訂(IPA) 画像

「中小企業の情報セキュリティ対策ガイドライン」を2年4カ月ぶりに改訂(IPA)

おしらせ 記事一覧へ

マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました 画像

マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました
[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像

[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ
記事に関するお詫びと訂正:メール誤送信を助長する表現について 画像

記事に関するお詫びと訂正:メール誤送信を助長する表現について
【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×