欧州ENISAが保健医療CSIRTに関する報告書を公表 ブックマークが追加されました
最新動向/市場予測
欧州ENISAが保健医療CSIRTに関する報告書を公表
【第145号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2021年11月11日、欧州連合サイバーセキュリティ庁(ENISA)は、ネットワーク・情報セキュリティ指令(NIS指令)導入以降の保健医療セクターにおけるコンピューターセキュリティインシデント対応チーム(CSIRT)機能の構築状況を分析した「保健医療セクターにおけるCSIRT機能」を公表しました。
第145号 2021.11.30公開
本報告書は、2021年11月11~12日、欧州連合理事会議長国を務めるスロベニアが招聘し、同国のリュブリャナで開催された第5回サイバー危機連絡組織ネットワーク(CyCLONe)事務レベル会議に合わせて、ENISAが公表したものです。保健医療セクターにおけるインシデント対応機能構築に関する実践的な提言を引き出すために、現在のインシデント対応の傾向に関する洞察を提供することを目的としています。
本報告書の主な調査結果は以下の通りです。
- 調査結果 #1:保健医療セクターにおいてインシデント対応の責任を有する主な主体は、国家レベルのCSIRTである。保健医療セクターのCSIRTは、加盟国の中では、例外的存在にとどまっている。しかしながら、情報共有など、セクター全体に渡るCSIRTの連携関係を構築する傾向が強まっている。
- 調査結果 #2:保健医療セクターにおけるセクター固有のインシデント対応機能(IRC)の構築は、国家レベルのCSIRTにおけるセクター固有の知識の欠如に加えて、過去のインシデントに学んだ教訓やNIS指令の展開の結果であるように見受けられる。
- 調査結果 #3:国家レベルの保健医療セクターCSIRTは、国家レベルのCSIRTが提供する包括的なサービスに加えて、セクターの特異性やニーズにより適応したサービスを提供する傾向がある。
- 調査結果 #4:調査回答者によると、保健医療セクターにおける構成者のIRC構築を支援するために適切な主要リソースやツールは、インシデント分類や脅威モデリング、トレーニング、教育活動向けの共有フレームワークと、インシデント対応(IR)の行為者によるネットワークである。
- 調査結果 #5:本研究より、CSIRTのインシデント対応開発を牽引する原動力は、組織のセキュリティ要求事項や責任と、インシデント対応関連情報の交換に関するセクター固有の明確化にあることがわかった。
- 調査結果 #6:本研究により、保健医療CSIRTが直面する主要課題は、重要サービスオペレーター(OES)の間のセキュリティ文化の欠如であること、そしてOESのITインフラストラクチャの管理(およびセキュリティ)はアウトソースされることが多く、OESのインシデント対応チームとの確立された連携ツールやチャネルがないという事実が、明らかになった。
これらを踏まえた上で、ENISAは以下のような提言をまとめています。
- 提言 #1:保健医療セクターCSIRT構築の強化および促進
- 提言 #2:重要サービスオペレーター(OES)自身のインシデント対応機能構築を支援する保健医療CSIRTの専門技術への資本供給
- 提言 #3:情報共有活動における保健医療CSIRTの役割の強化
なお、NIS指令に関連して、欧州議会の産業・研究・エネルギー委員会(ITRE)は、2021年10月28日、NIS指令の改正草案(NIS指令2)を採択しています。ITREで採択されたNIS指令2草案では、「不可欠な(Essential)セクター」として、エネルギー、交通、保健医療、デジタルインフラストラクチャ、公的機関、宇宙セクターなどが適用対象となるほか、「重要な(Important)セクター」として、郵便サービス、廃棄物管理、化学、食品、医療機器・電機・機械・自動車製造、デジタルプロバイダーなどにも適用が拡大されるとしています。なお、企業規模については、適用対象セクターの中で、総売上高1000万ユーロ以上または従業員数50人以上の企業・団体に拡大する方針です。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・欧州と比較して日本国内の場合、CSIRTを設置している医療機関は少数派にとどまっており、保健医療行政を担う中央・地方政府機関の取組も遅れている。インシデント対応組織の構築・強化をめざす医療機関は、重要インフラを構成する異業種や地域コミュニティのレベルで、外部のCIO/CISOやサイバーセキュリティ専門家と連携・情報共有できるようなチャネルの構築を検討すべきである。
医療機器メーカー/医療品メーカー
・欧州においては、医薬品製造を含む化学メーカーや医療機器メーカーも、重要インフラストラクチャを構成するセクターとして位置付けられようとしている。今後、医薬品/医療機器メーカーのCSIRTは、セキュリティエコシステムの一員として、インシデント対応に係るユースケースやベストプラクティスを、医療機関や行政組織のCSIRTと共有する仕組を構築すべきである。
サプライヤー
・医療機関や医療機器メーカー、医薬品メーカー向けにICT関連製品・サービスを提供するサプライヤーは、サイバーサプライチェーン・リスクマネジメントの観点から、各委託元のCSIRT組織との間で、インシデント対応に係る連携活動や情報共有活動を積極的に推進すべきである。
関連記事 [外部サイト]
- European Union Agency for Cybersecurity (ENISA)「On the Watch for Incident Response Capabilities in the Health Sector」(2021年11月11日)
- European Union Agency for Cybersecurity (ENISA)「5th CyCLONe Officers meeting」(2021年11月11~12日)
- European Parliament「Cybersecurity: MEPs strengthen EU-wide requirements against threats」(2021年10月28日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
