米国FDAがゼロトラストセキュリティ実装に向けた行動計画を公表

第170号　2022.12.13公開

FDAは、2019年9月17日に公表した「技術現代化行動計画（TMAP）」の中で、技術インフラストラクチャの重要領域として、サイバーセキュリティを位置付けました。その後、米国大統領行政府が2021年5月12日に発出した「国家サイバーセキュリティに関する大統領令」を受けて、FDAは、2022年3月30日に「モダナイゼーション・イン・アクション2022」を公表し、最も優先度の高いテーマとして、ゼロトラストモデルの導入を掲げていました。

今回発表したCMAPにおける重要なアクションは以下の通りです。

• 新たなデジタルサービスと現代化の取組みを促進するために、包括的なゼロトラストアプローチを確立する
• 開発ライフサイクルの全段階でセキュリティ対策をカバーするために、ソフトウェア保証のベストプラクティスを促進する
• FDAおよび公衆衛生のパートナー全体に渡って、相互運用性がありセキュアなデータ交換と協力を強化する
• 人工知能／機械学習（AI／ML）技術を活用して、サイバー検知および対応機能を強化する・カウンターインテリジェンスとインサイダーリスクの原則をゼロトラストモデルと統合して、インテリジェンス駆動型アプローチを可能にする
• FDAのサイバーセキュリティ労働力を優先順位付けして投資する

CMAPでは、急速に進化する脅威動向の課題に取り組むために、最新の技術や進歩するプロセスを活用するような高度に熟練したサイバー労働力を将来のビジョンとしています。その上で、FDAのITインフラストラクチャおよび機微なデータに対して進化するサイバー脅威や脆弱性、リスクに取り組むために、セキュリティとサイバーディフェンスを現代化し、強化することによって最適な成熟度を達成するようなアプローチの概要を示しています。

そして、CMAPは、以下に示すような改善点をもたらすものだとしています。

• カスタマーエクスペリエンスの向上
• パフォーマンスの向上
• 視界や状況認識の強化
• 脅威保護の強化
• クラウドに対するレイテンシーと速度の低減

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の規制当局だけでなく主要医療機関の間でも、院内システム主導の境界防御型セキュリティモデルから、在宅医療や予防医療の拡張を容易にするゼロトラストモデルへの移行を志向する動きが本格化している。ただし、従来から使用されているレガシー機器・システムの中については、ゼロトラストモデルに対応できないケースが想定される。ゼロトラストへの移行を検討する日本の医療機関は、院内にあるIT資産の棚卸やネットワーク環境の再確認を行い、レガシーシステムへの対応計画策定に当たって、各サードパーティベンダーと協議しておく必要がある。
 

医療機器メーカー／医療品メーカー

・今後、医療機関や在宅患者向けにデジタルヘルス製品・サービスの提供を計画するメーカーおよびそのパートナー企業は、既存環境に加えて、新たなゼロトラストモデルをベースとする検証環境を構築し、製品設計の早期段階から、ゼロトラストモデルが市販前および市販後のセキュリティ／プライバシー保護機能に及ぼすインパクトを評価しておく必要がある。
 

サプライヤー

・医療機関や医療機器メーカー／医療品メーカー向けにIT関連製品・サービスを提供するサプライヤーは、米国における規制当局主導のゼロトラストモデル導入が、医療機関／メーカー側の新規製品の治験・臨床試験や既存製品の市販後安全管理などに及ぼすインパクトを評価し、サードパーティベンダーとして要求されるゼロトラストモデル対応策を検討しておく必要がある。

関連記事 [外部サイト]

• U.S.Food & Drug Administration (FDA) 「Cybersecurity Modernization Action Plan」(2022年11月17日)
  
• U.S.Food & Drug Administration (FDA) 「Modernization in Action 2022」(2022年3月30日)
• U.S.Food & Drug Administration (FDA) 「FDA’s Technology Modernization Action Plan」(2019年9月17日)

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<