米国FDAが遺伝子解析用次世代シーケンサーの脆弱性について注意喚起 ブックマークが追加されました
最新動向/市場予測
米国FDAが遺伝子解析用次世代シーケンサーの脆弱性について注意喚起
【第158号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2022年6月2日、米国食品医薬品局(FDA)は、研究職や医療機関向けに、イルミナ製次世代シーケンサー機器のソフトウェアに影響を及ぼすサイバーセキュリティ脆弱性に関する文書を発出しました。
第158号 2022.6.21公開
脆弱性の影響を受ける可能性がある機器は、同社の体外診断用医療機器に該当する「NextSeq 550Dx」、「MiSeqDx」と、研究使用限定(RUO)製品に該当する「NextSeq 500」、「NextSeq 550」、「MiSeq」、「iSeq」、「MiniSeq」です。これらの中には、デュアルブートモードで、ユーザーが臨床診断モードまたはRUOモードのいずれかで操作できるものがあるとしています。 研究施設では、臨床診断利用向け検査で次世代シーケンサーが利用される可能性がありますが、通常、RUO製品は、開発段階で利用されるものであり、「研究目的のみ。診断手順の利用不可」と表示する必要があるとしています。
また、FDAによると、サイバーセキュリティ脆弱性は、Local Run Manager(LRM)ソフトウェアにも影響を及ぼすものであり、具体的には、権限のないユーザーが、以下のような形で悪用することが可能だとしています。
- 遠隔で機器をコントロールする
- システムを操作して、機器または顧客のネットワーク上で設定、構成、ソフトウェア、データを変更する
- 臨床診断を意図した機器における患者の検査結果に影響を及ぼす(機器に結果を出さない、不正確な結果、変更された結果、潜在的なデータ侵害など)
イルミナは、脆弱性の悪用に対する保護のために、ソフトウェアのパッチを開発し、現在および将来の機器向けに永久的なソフトウェアの修正を提供すべく取り組んでいるとしています。FDAは、研究職や医療機関に対して、これらのサイバーセキュリティリスクを逓減するために必要な行動を認識してほしいと述べています。
なお、今回FDAが公表した脆弱性については、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からも公表されています。CISAによると、英国のセキュリティ企業の研究者が脆弱性を発見してイルミナに報告し、同社はCISAに報告したとしています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・本事案のように、医療施設で利用される医療機器の脆弱性については、外部の第三者(ホワイトハッカー)からの報告が発端となるケースが増えている。医療機関は、院内のSOC(セキュリティオペレーションセンター)やCERT(コンピューター緊急対応チーム)、医療機器メーカーの製品セキュリティインシデント対応センター(PCIRT)、外部の情報共有分析組織(ISAO)などと連携しながら、第三者からインシデント関連情報を受けた場合の対応体制整備を進める必要がある。
医療機器メーカー/医療品メーカー
・国際医療機器規制当局フォーラム(IMDRF)の医療機器サイバーセキュリティ原則では、市販後安全対策における情報共有のエコシステムに「脆弱性の発見者(セキュリティ研究者及びその他を含む)」が組込まれている。日本国内でも、IMDRFサイバーセキュリティ原則に準拠したガイダンスの導入が計画されているので、企業組織や業種・業界の枠を越えたホワイトハッカーとの連携活動やリスクコミュニケーションに係るプロセス/手順の標準化・効率化について議論する必要がある。
サプライヤー
・医療施設や研究機関の臨床研究・遺伝子解析研究業務向けにIT製品・サービスを提供するサプライヤーは、サイバーセキュリティに関する緊急安全情報の入手ソースとして、医療以外の規制当局や第三者組織の果たす役割が大きくなっている点を認識しながら、組織の枠を越えた情報共有・分析体制について、発注元とともに再検討する必要がある。
関連記事 [外部サイト]
- U.S. Food and Drug Administration (FDA)「Illumina Cybersecurity Vulnerability May Present Risks for Patient Results and Customer Networks: Letter to Health Care Providers」(2022年6月2日)
- Cybersecurity and Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local Run Manager」(2022年6月2日)
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
