米国保健福祉省がオープンソースソフトウェアのリスクについて注意喚起

第195号　2024.1.17公開

本文書では、オープンソースソフトウェアについて、ツール、プロジェクト、プログラム向けのソースコードが自由にダウンロード、修正、共有可能なソフトウェア開発の領域と定義しています。完全なソースコードは、通常、GitHubのようなコード共有プラットフォームを介して、公に公開されており、誰でも検証や変更が可能です。HC3は、その一般的な例として、FireFoxやLinuxを挙げています。

HC3は、OSSセキュリティに関連するガイダンス・フレームワークとして、以下を参照しています。

• 米国食品医薬品局（FDA）「医療機器のサイバーセキュリティ：品質システムの考慮事項と承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」（2023年9月27日）
• 米国連邦議会上院「2022年オープンソースソフトウェアセキュリティ強化法」 （2022年9月21日）
• 米国立標準技術研究所（NIST）「SP 800-218 セキュアソフトウェア開発フレームワーク第1.1版」（2022年2月3日）
• 米国立標準技術研究所（NIST）「大統領令（EO）第14028号第４章eに基づくソフトウェアサプライチェーンセキュリティガイダンス」（2022年2月4日）

本文書は、以下のような構成になっています。

• オープンソースソフトウェアの背景

-オープンソースソフトウェア（OSS）とは何か？

-オープンソースソフトウェア（OSS）の歴史

-最近のガイダンスとフレームワーク

-オープンソースソフトウェアはどのようにして普及しているか？

-オープンソースソフトウェア（OSS）の利点

-OSS: 諸刃の剣

• OSSの懸念

-公にアクセス可能なコードと脆弱性

-絶え間なき更新が必要

-検証と説明責任の欠如

• 医療におけるオープンソースソフトウェア（OSS）

-オープンソースコードに対する業界の露出

-保健医療セクターにおけるOSSの事例

-OSSを利用した医療機器に対する脅威

• 保健医療におけるケーススタディ

-医療における従来のOSSの脆弱性

-従来の脆弱性: Log4j

-従来の脆弱性: OpenEMR

• 他業種におけるケーススタディ

-銀行における最近のOSSサプライチェーン攻撃

-国家におけるオープンソースソフトウェアの武装化

-攻撃で利用されるオープンソースツール

• サイバーセキュリティリスクとOSSレポジトリ

-オープンソースソフトウェア・レジストリ

-OSSレポジトリを利用した悪意あるキャンペーン

-悪意あるパッケージ感染手法

-悪意あるパッケージ攻撃向けの低減策

• オープンソースソフトウェア・セキュリティ

-オープンソースセキュリティとSLSA

-オープンソースソフトウェア（OSS）の評価

-ソフトウェア部品表（SBOMs）

-ソフトウェア構成分析（SCA）

-CISAオープンソースソフトウェア・セキュリティ・ロードマップ

• 結論

-重要なポイント

• 参考文献

ここでは、オープンソースソフトウェアの長所を挙げた上で、サイバーセキュリティからみたリスクおよびその低減策について触れています。

その上で、本文書の結論として、以下のようなポイントを挙げています。

• プロプライエタリ・ソフトウェアは、オープンソースコードを含む可能性がある
• 保健医療セクターにおいて従来注目を集める攻撃で、オープンソースコードを含むものには、HeartbleedとLog4jがある
• 国家支援型脅威アクターは、企業ネットワークに浸透するために、オープンソースソフトウェアに、悪意あるペイロードを組み込んできた
• ソフトウェア部品表（SBOM）とソフトウェア構成分析（SCA）は、オープンソースセキュリティに向けた重要なステップである

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・日本国内の医療機関でも、オープンソースソフトウェアの脆弱性に起因するサイバーセキュリティインシデント事案が続発しているが、個々の医療機関レベルで最新情報を収集・共有・分析するのに、リソース上の限界がある。特に中小規模医療機関のセキュリティ責任者は、組織や業種・業界の枠を越えて、オープンソースソフトウェアコミュニティとの広域連携による情報収集・分析活動の仕組みを取り入れていく必要がある。

医療機器メーカー／医療品メーカー

・バイオ技術・製造など、医療機器・医薬品の研究開発領域でも、オープンソースソフトウェアの利用が急拡大している。特に医療機関とデータ連携した臨床開発業務においては、サプライチェーンエコシステム全体で、オープンソースソフトウェアの脆弱性に関する最新情報の収集や、パッチ当て、変更管理などの迅速な対応策が要求されるので、ユーザー部門や外部委託先におけるセキュリティ教育・啓発活動を強化する必要がある。

サプライヤー

・日本国内で医療機関向けにIT製品・サービスを提供するサプライヤーは、各医療機関内において自社製品・サービスと連携する情報システムのオープンソースソフトウェア利用状況を把握した上で、継続的にモニタリングしながら、自らのサイバーサプライチェーンリスクマネジメントやインシデント対応計画に反映させる必要がある。

関連記事 [外部サイト]

• U.S. Department of Health and Human Services (HHS)「Open-Source Software (OSS) Risks in the Health Sector」（2023年12月7日）
• U.S. Food and Drug Administration（FDA）「Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions - Guidance for Industry and Food and Drug Administration Staff」（2023年9月27日）
• U.S. Senate「S.4913 -Securing Open Source Software Act of 2022」（2022年9月21日）
  
• National Institute of Standards and Technology (NIST)「NIST SP 800-218 Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities」（2022年2月3日）
• National Institute of Standards and Technology (NIST)「Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e」（2022年2月4日）

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

執筆者

笹原 英司／Eiji Sasahara
デロイト トーマツ サイバー合同会社　シニアマネジャー

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事