最新動向/市場予測

米国医療サイバーセキュリティ団体が情報共有ベストプラクティスを公表

【第105号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2020年3月11日、米国の医療・公衆衛生セクター調整委員会(HSCC)は、「保健医療産業サイバーセキュリティ情報共有ベストプラクティス」を公表しました。HSCCは、重要医療インフラストラクチャへの脅威を低減するための共同ソリューションを開発する保健医療企業およびプロバイダー業界の官民連携パートナーシップ組織です。

目次

第105号 2020.4.13公開

今回の報告書は、米国保健福祉省(HHS)の医療産業タスクフォースが2017年6月2日に公表した「医療産業におけるサイバーセキュリティ向上に関する報告書」と、HSCCが2019年9月9日に公表した「2019年保健セクター向けサイバーセキュリティリソース第4版:情報共有組織の保健医療産業サイバーセキュリティ・マトリックス(HIC-MISO)」をベースにしています。

HSCCは、医療組織が、どの情報を共有すればよいか、どのように情報を共有すればよいか、受け取るすべての機微情報をどのように保護すればよいかについて行う意思決定を支援するとともに、情報共有プロセスに関する内部および外部の承認を得るためのベストプラクティスを提供することを目的として、ベストプラクティス集を策定しています。

今回の報告書は以下のような構成になっています。

  • どの情報を共有するか
    • 戦略的インテリジェンス
    • 戦術的インテリジェンス
    • 作戦的インテリジェンス
    • 技術的インテリジェンス
    • オープンソース・インテリジェンス(OSINT)
    • 業界ベストプラクティスの共有
    • インシデント対応情報共有
    • メディア対応
  • どのように共有するか
    • 交通信号プロトコル
    • 法的保護
  • 誰と共有するか
  • 情報共有のためにどのように準備するか・ケーススタディ
    • 例1:トリアージュから脅威インディケーターまでの無差別型攻撃
    • 例2:標的型攻撃キャンペーン
    • 例3:サイバー脅威インディケーターと防御的対策
    • 例4:産業セクターに対する分散型サービス拒否(DDoS)攻撃
  • 結論

なおHSCCは、「保健セクター向けサイバーセキュリティリソース:情報共有組織の保健医療産業サイバーセキュリティ・マトリックス(HIC-MISO)」も公表しており、今回の報告書とりまとめに際しては、保健医療分野のサイバーセキュリティ情報共有組織(ISAO)も協力しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・医療機関の枠を越えて、サイバーセキュリティ情報を共有するためには、共有の対象となる情報を収集・整理する内部的仕組みづくりと、その情報を外部に伝達する人材のコミュニケーションスキルの強化が必要となる。既存のリスクマネジメント委員会などを生かしながら、内部/外部向けの包括的なコミュニケーション戦略を策定しておく必要がある。
 

医療機器メーカー/医療品メーカー

・医療機器、医薬品とも、製品レベルでのコミュニケーション・情報共有活動を積極的に行っているが、サイバーセキュリティに関する包括的・製品横断的な情報共有の仕組みの構築までは至っていない。医療機関との包括的な情報共有の仕組みづくりをきっかけとして、製品セキュリティとコーポレートセキュリティの社内連携の取組を強化すべきである。

サプライヤー

・医療機関向けのICTサプライヤーも、医療機器メーカー/医療品メーカー向けのICTサプライヤーも、サイバーセキュリティ情報共有に係る業務プロセスやデータベース、コミュニケーションツールなどは共通化・標準化されているケースが多いので、そのメリットを生かしながら、発注元と関係性を強化すべきである。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

目次

お役に立ちましたか?
メディア掲載記事(サイバーセキュリティ)