米国バイオISACがサイバーセキュリティ机上演習報告書を公表

第187号　2023.9.13公開

バイオISACは、サイバーセキュリティインシデントに直面する際にバイオエコノミー固有の複雑性に対する参加者の認識を拡大させることを目的として、2023年5月、ジョンズ・ホプキンス大学応用物理研究所（APL）と共同で、2日間の机上演習（TXX）を開催しました。ジョンズ・ホプキンス大学は、国防総省（DoD）、米航空宇宙局（NASA）などと連携した、航空・宇宙、潜水艦、コネクテッドカーなどの安全管理に関する研究実績で知られています。

この演習には、公衆衛生、政策、サイバー、物理学、法律など、様々な分野の専門家が多数集まり、架空のシナリオへの参加を通して脆弱性を特定し、救済策の推奨事項を策定するとともに、主要な生物学的ケーパビリティに存在する脅威に対する幅広い理解を深めたとしています。

今回公表された報告書の構成は以下の通りです。

• エグゼクティブサマリー
• イベントの背景
• 架空のシナリオの概要
• 研究成果
• 推奨事項
• 参加者
• 架空のシナリオの詳細
• 謝辞

本報告書では、当局の緊急使用許可（EUA）を受けたワクチンに係る品質管理プロセスで利用されているのと同じ商用シーケンサーに、脆弱性が検知された場合を想定した架空のシナリオを例示しています。そして、本シナリオを基に実施された演習に関する研究成果として、以下の4つの課題点を挙げています。

信頼（TRUST）:

• バイオエコノミーは、隣接する活動の想定された完全性に依存している; 一部分が悪化したら、システム全体が危険にさらされる。

認識（AWARENESS）:

• バイオエコノミーエコシステムの全ての主体で、バイオエコノミーを保護するためのベストプラクティスや脆弱性に対する認識が不十分である。

責任（RESPONSIBILITY）:

• サイバーセキュリティ脅威に対する準備や対応の観点から、バイオエコノミーエコシステム内部における役割や責任が明確化されていない。

準備（PREPAREDNESS）

• バイオエコノミーにおいて、サイバーセキュリティ脆弱性はますます普及しているが、責任のある政府機関は、迅速かつ効果的に対応するためのガイダンス、政策、構造に欠けている。

その上で、「推奨事項」として以下のような点を挙げています。

[信頼]

• 米国政府は、特に国家の拡大、保護、成長（例. バイオ技術とバイオ製造）に不可欠な研究や産業の領域において、実験器具向けのサイバーセキュリティ標準規格を構築し、最終的に拡張すべきである
• データライフサイクルの各ステップに潜在的な脆弱性があるので、対応準備や対策は、いかなる特定の観点も見落とすことができない。データ生成・利用のパスに従って、中間地点を強化するだけでなく、データの来歴を追跡・表示するためのベストプラクティスを確立する
• 物理学的セキュリティや生物学的セキュリティの構造と同様に、階層型レベルのコンプライアンスを有するシステムを導入する

[認識]

• バイオエコノミーエコシステムを代表する米国政府機関全体に渡るサイバー調整機能を強化する追加的な演習
• バイオISACは、民間セクターや州・連邦政府機関との取り組みを強化して、コミュニティの信頼された一員として、ケーパビリティや能力、サービス、リソース提供に注力すべきである
• 1枚のシート、広告キャンペーン、インセンティブプログラム（例."weak firewalls close labs!"）は、脅威に対する集団的認識を高めることができる

[責任]

• 米国連邦政府は、サイバーセキュリティの脆弱性や攻撃の兆候を特定するためのプロセスワークフローを起案して、責任主体間や、バイオエコノミー関連ユースケース向けに、明確に定義された役割や個別的な描写とともに完了すべきである
• 一緒に行動に向けて取り組む。官民セクター間の協力関係の拡大は、米国消費者製品安全委員会のリコールと似たような、サイバーセキュリティ侵害や予想される脆弱性または推奨される改善に関する迅速で効果的なコミュニケーションと報告を可能にする

[準備]

• 米国連邦政府は、永続的なレジリエンシーを保証するために、バイオエコノミー内部で重要インフラストラクチャおよび／または重要機能（物理的およびデジタル的）に対するインタラクティブな評価を実行すべきである
• 複雑で進化する脅威に対して必要な対応を予期するために、領域横断的なトレーニングを、バイオエコノミーエコシステム内部の関係者に提供すべきである。主に、保健医療とサイバー領域間のクロストークを拡大すべきである
• 医療機器や対策を市場に提供した民間の産業パートナーにおけるサイバー脅威に迅速に対応するため、省庁横断的グループ向けのポリシーおよび手順を設定すべきである

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・バイオテクノロジー／バイオ製造領域の研究開発に関わる医療機関は、机上演習を通じて、生成・収集・保存・共有など、個々のデータライフサイクルにおける脆弱性を認識し、そこで使用される機器・サービスを対象としたインシデント対応計画を整備する必要がある。
 

医療機器メーカー／医療品メーカー

・バイオテクノロジー／バイオ製造領域の研究開発に関わる医療機器メーカー／医療品メーカーは、R＆Dエコシステムに関わるステークホルダーと共同で机上演習を企画・実施し、そのアウトカムを、インシデント対応計画の策定やリスクコミュニケーション体制の整備などに活用すべきである。
 

サプライヤー

・バイオテクノロジー／バイオ製造領域の研究開発向けにIT製品・サービスを提供するサプライヤーは、机上演習への参加を通じて、組織の枠を越えたサイバーセキュリティ脅威や脆弱性に係る情報共有・分析体制について再検討する必要がある。

関連記事 [外部サイト]

• BIO-ISAC「Going Viral: Bioeconomy Defense: Summary Report」（2023年8月25日）
  
• The Johns Hopkins University Applied Physics Laboratory LLC.

本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<