米国MITREがレガシー医療機器サイバーセキュリティに関する報告書を公開 ブックマークが追加されました
最新動向/市場予測
米国MITREがレガシー医療機器サイバーセキュリティに関する報告書を公開
【第193号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年11月15日、米国連邦政府の支援を受けた非営利団体MITREは、「レガシー医療機器のサイバーセキュリティリスク管理に向けた次のステップ」と題する報告書を公開しました。同報告書は、MITREが、米国食品医薬品局(FDA)との契約を受けて作成したもので、特にレガシー医療機器の課題向けの短期的なソリューションに焦点を当てています。
第193号 2023.12.7公開
MITREは、本報告書の策定に当たって、スコープやパラメーターを明確化するために、医療提供組織(HDO)、医療機器製造業者(MDM)、医療サイバーセキュリティ専門家など、ステークホルダーを代表する各グループに対するインタビューを実施しました。さらに、医療提供組織、共同購入組織(CPO)、医療機器製造業者、流通業者、連邦政府機関、病院認証機関から抽出された小規模の作業部会を招集し、報告書の執筆作業を共同で行っています。MITREは、過去の調査からの重要な推奨事項の実行に関する助言を提供し、過疎地の医療機関やセーフティネットの病院など、リソースの少ない医療提供組織が実装するための考慮事項をカバーするものだとしています。
本文書は、以下のような構成になっています。
1 イントロダクション
2 調査結果
2.1 背景
2.2 課題
3 推奨事項
3.1 分野横断的な原則
3.1.1 ガバナンス
3.1.2 データ収集
3.2 医療機器ライフサイクルに渡る責任共有
3.3 脆弱性管理
3.4 労働力開発
3.5 相互支援
4 結論
5参考文献
附表A 推奨事項の要約
附表B 略語と頭字語
MITREは、レガシー医療機器のサイバーセキュリティ課題として、以下のような点を指摘しています。
- レガシー医療機器のリスク管理は、医療機器ライフサイクルに渡る責任共有であり、医療機器製造業者および医療提供組織双方の視点から問題や経済の影響を理解するためのデータ収集と、透明性を拡大するためのツール開発が重要である
- 脆弱性管理は複雑であり、脆弱性の通知やパッチ当て/低減の調整を簡素化する手法を調査することが重要である
- レガシー医療機器のサイバーセキュリティリスク管理には、コンピテンシーモデルで定義された熟練労働力が必要である
- リソースの少ない医療提供組織では、レガシー医療機器の管理が重要となり、地域の相互支援アプローチが役に立つ可能性がある
その上で、レガシー医療機器のサイバーセキュリティ対策に関する推奨事項として、以下の8項目を挙げています。
- 推奨事項1: レガシー医療機器のリスク管理に関する意思決定を支援するためのデータ収集を先導する
- 推奨事項2: 透明性を拡大するために、情報共有同意書のテンプレートを開発する
- 推奨事項3: セキュリティアーキテクチャ作業部会を創設する
- 推奨事項4: 医療機器向けモジュール設計に関する研究プログラムを開発する
- 推奨事項5: 脆弱性管理の調整に関する研究を実施する
- 推奨事項6: レガシーのサイバーリスク管理に関連する役割のためのコンピテンシーモデルの開発
- 推奨事項7: 労働力開発向けのリソースを特定する
- 推奨事項8: 相互支援パートナーシップへの参加
なおMITREは、医療機器サイバーセキュリティに関連して、「医療機器脅威モデリングプレイブック」(2021年11月30日)、「医療機器サイバーセキュリティの地域インシデント準備・対応プレイブック」(2022年11月14日)などを公開しています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・日本国内の医療機関も、レガシー医療機器に依存した臨床業務を多く抱えている反面、米国と比較すると、脆弱性管理など、サイバーセキュリティ情報共有・分析体制の実装・運用に従事できるようなスキルを持ったインハウス人材が圧倒的に不足している。医療機関は、レガシー医療機器の市販後安全対策、インシデント対応、廃棄に至るまでの製品ライフサイクルを通じて、外部ステークホルダーと密に情報共有できるようなリスクコミュニケーション機能を構築・強化して、自組織のリソース不足をカバーする仕組みづくりをしておく必要がある。
医療機器メーカー/医療品メーカー
・レガシー医療機器の保守・運用を行う医療機器メーカーや、レガシー医療機器と直接的・間接的に連携して自社製品・サービスを提供する医薬品メーカーは、脆弱性情報開示、パッチ当てなど、複雑化した脆弱性管理を簡素化・迅速化できるような内部的仕組みや技術的支援策の構築・実装に向けた具体的アクションをとる必要がある。
サプライヤー
・日本国内で医療機関向けにIT製品・サービスを提供するサプライヤーは、各医療機関内において自社製品・サービスとネットワーク連携するレガシー医療機器の現状を把握した上で、継続的にモニタリングしながら、自らのサイバーサプライチェーンリスクマネジメントやインシデント対応計画に反映させる必要がある。
関連記事 [外部サイト]
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事