[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」

特集 特集

星野リゾートアルツ磐梯スキー場という、セキュリティとは無縁に思える福島県のリゾート地で毎年開催されているイベントがある。「Hackで医療に革命を起こす」というコンセプトで行われている「Medical x Security Hackathon」だ。今年は2015年3月7日(土)、8日(日)に「Medical x Security Hackathon 2015」としてカンファレンスとハッカソンの2つのイベントが開催され、100名近い人々が集まった。


基調講演では内閣サイバーセキュリティセンター副センター長の谷脇康彦氏が「データ主導型社会とサイバーセキュリティ」というテーマで、異なる領域の人たちが持っているデータをどのようにして領域を越えてつなぐかといった話が行われた。

データ主導型社会は「オープンデータ(官民)」「ノウハウのデータ(農業など)」「センサーなどのM2M」「パーソナルデータ」などの情報を流通させるプラットフォームを整備することで、異なる領域の人が異なるデータを見ることによって新しいソリューションや価値を生み出していくというものである。たとえば、地盤を3D化したモデルを作ろうとした場合、1からデータを集めることは非常に大変な作業が必要だ。しかし、ビルを建てるときには地質調査のためにボーリング調査を行うので、市町村が持っているこれらのデータを活用することで容易に実現することができるといったことだ。

今年開始されるマイナンバー(社会保障・税番号制度)は税金を集めるための仕組みであることは間違いないが、たとえば個人情報に誰がアクセスしたのかといったことを判るようにしたり、信頼が出来るシングルサインオンの仕組みとして活用したりと、サイバーセキュリティのためにも活用できるようにしたいと谷脇氏は語った。

特定非営利活動法人ヘルスケアクラウド研究会理事の笹原英司氏は「市民参加型健康医療イノベーションと情報セキュリティ」というテーマで講演し、海外の病院などに対するサイバー攻撃の事例などを紹介した。アメリカの病院にはCSIRTがあるところもあるが、日本ではCIOすらいないところも多いと語った。

ハッカソン部門では新しい医療アプリケーションやサービスを提案する「アプリ・サービス部門」と、医療機器やソフトウェアの脆弱性診断を行う「セキュリティ部門」が開催された。このうちセキュリティ部門は神戸のサテライト会場でも並行して行われた。

セキュリティ部門では実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。評価基準としては、発見した脆弱性の深刻度をCVSSの基本評価基準によってスコアリングしたものと、プレゼンテーションによる脆弱性攻撃手法のアピールによって総合的に決定される。

リゾート地ならではの趣向も凝らしていて、参加者はメインの会場以外にもアルツ磐梯スキー場のゴンドラに乗って山の中腹まで行ったところにあるカフェで作業することも許可されている。

優勝した「脳トン(編集部註:「トン」の表記は「ト」が左上、「ン」が右下に記載される特殊記号)」チームは、SQLインジェクションやXSS、セッションフィクセイションなど数多くの脆弱性を発見していた。その中でも、ファイルアップロードの脆弱性をうまく活用することで、対象となるサーバー上で任意のコマンドを実行できてしまうといった致命的な脆弱性も報告された。

2位の「三重螺旋」チームは患者の病歴や治験管理を行うシステムの脆弱性を多数発見し、プレゼンテーションでは患者データの閲覧や保険請求情報の閲覧などの実害にも触れていた。ハッカソンで発見された脆弱性は後日しかるべきところに報告されるとのことだ。
《上野 宣》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×