[レポート]福島/セキュリティハッカソン、医療ソフトウェアに対する脆弱性調査のイベントを開催

2014 年 2 月 27 日 (木)、28 日 (金) に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter Vol.4 / Medical × SecurityHackathon 2014」が開催された。アルツ磐梯で本イベントが開催されるのは 2 回目となる。

研修・セミナー・カンファレンスセミナー・イベント

2014年4月16日（水） 09時39分

2014 年 2 月 27 日 (木)、28 日 (金) に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter Vol.4 / Medical × SecurityHackathon 2014」が開催された。アルツ磐梯で本イベントが開催されるのは 2 回目となる。

このイベントは、経済産業省東北経済産業局平成 25 年度地域新産業集積戦略推進事業として支援を受けて開催され、医療従事者をはじめ、大学生や開発者やセキュリティエンジニア、デザイナーなどが参加し、医療に関するアイデアやセキュリティの問題解決を行い、情報共有を行うことで創発的なコミュニティを築き上げることを目的としている。

「Medical × Security Hackathon」では、医療系のアプリケーションを開発する「メディカルハッカソン」と、医療系ソフトウェアの脆弱性を調査する「セキュリティハッカソン」の 2 競技を行う。どちらも 24 時間という限られた時間の中で自分たちの持てる力を最大限発揮して優勝を競い、優勝者には 10 万円が贈呈される。

「メディカルハッカソン」は、本大会で優勝したチームがアメリカで開催された Health 2.0 San Francisco 2013 Developer Challenge に出場し、見事優勝の成績を収め世界一の称号を手にした実績のあるイベントだ。「セキュリティハッカソン」は、昨年重大な脆弱性が発見されたこともあり前回よりも参加者が増え、2回目の開催に注目が集まった。

競技ルールは、一般にヘルスケア用途として利用されているソフトウェアに対して、制限時間内で脆弱性調査を行うというもので、医療業界に対して、セキュリティ対策の意識付けや、その重要性を訴えかけることを主な目的としており、最後にプレゼンテーションを行い優勝者が決定する。

このハッカソンは、アルツ磐梯スキー場のゲレンデ全体が会場となり、標高約 1,300m の山の上でもハッカソンを行うことが可能だ。また、サブイベントとして本格的なドローンの空撮や、セキュリティエンジニアたちによるショットガンファイト (映画「ソーシャルネットワーク」内で行われた遊び) 等が開催された。

ハッカソン競技の前には講演のセッションがあり、一般財団法人日本品質保証機構の中里俊章氏が「医療機器ソフトウェアとセキュリティ TC62 における国際規格等の動向」という題目でプレゼンテーションを行い、医療機器のセキュリティに対する課題を熱弁した。

セキュリティハッカソンは、国内のみならず、海外でも広く利用されている 3 つの医療ソフトウェアを対象とした。対象ソフトウェアの中には、米国 HIPAA 法 (Health Insurance Portability and Accountability Act) に準拠し、世界中の約 15,000 の医療機関、45,000 を超える開業医に利用されているようなものや、日本全国で 13,000 施設を超える医療機関で利用されているものもあった。対象ソフトウェアは、オープンソースであり、Web サイトからソースコードを入手することが出来る。

参加者は、実際のソフトウェアの動作を確認するためにネットワーク越しに主催者が用意したサーバにアクセスしたり、ソースコードを解析するなどして脆弱性を探す。

競技の 2 日目午後に猪苗代湖の磐梯観光船かめ丸にて、参加者によるプレゼンテーションが行われた。参加者によるプレゼンテーションでは、それぞれの知識や技術を発揮した結果が発表され、セキュリティハッカソンの発表では、主催者が指定した医療ソフトウェアに多数の脆弱性が報告された。発見された脆弱性は、パストラバーサルの脆弱性、SQL インジェクションの脆弱性などが多かったが、中には任意のコードが実行できるような深刻な脆弱性も存在した。優勝は千田雅明氏で、前回に引き続き 2 回目の優勝となる。

千田氏は「診断したソフトウェアは、悪意のあるユーザからの攻撃といった、セキュリティの一般的なシナリオを想定しておらず、製品の設計段階からセキュリティを考慮するよう働きかけが必要だ。」と述べた。なお、発見された脆弱性については、適切に開発者に報告されるという。

主催者によると、組み込み系の機器に対するセキュリティが今後の課題となるという。2014年の秋に薬事法が改正され、医療機器・ソフトウェアも薬事法の対象となる。条文の中に「安全性等に関する責務又は役割を課すこと」という記述もあり、IPA(独立行政法人情報処理推進機構)等でも医療機器に関するセキュリティに注視しているので、安心して機器を使用するためのセキュリティは今後の必須課題になるだろうと述べた。

Health 2.0 Fukushima Chapter及び、セキュリティ・メディカルハッカソンは、すでに来年の開催が決定しており、2015年2月28日(土)から3月1日(日)を予定している。

(株式会社 Eyes, JAPAN)

株式会社 Eyes, JAPAN ：日本で最初のコンピュータ・サイエンスの単科大学、会津大学の元事務局通訳翻訳員と現役の学生たちで1995年9月に設立