米国保健福祉省がオープンソースソフトウェアのリスクについて注意喚起 ブックマークが追加されました
最新動向/市場予測
2023年12月7日、米国保健福祉省(HHS)の保健医療サイバーセキュリティ調整センター(HC3)は、「保健医療セクターにおけるオープンソースソフトウェア(OSS)のリスク」と題する文書を公表し、医療機関に対して注意を促しました。
本文書では、オープンソースソフトウェアについて、ツール、プロジェクト、プログラム向けのソースコードが自由にダウンロード、修正、共有可能なソフトウェア開発の領域と定義しています。完全なソースコードは、通常、GitHubのようなコード共有プラットフォームを介して、公に公開されており、誰でも検証や変更が可能です。HC3は、その一般的な例として、FireFoxやLinuxを挙げています。
HC3は、OSSセキュリティに関連するガイダンス・フレームワークとして、以下を参照しています。
本文書は、以下のような構成になっています。
-オープンソースソフトウェア(OSS)とは何か?
-オープンソースソフトウェア(OSS)の歴史
-最近のガイダンスとフレームワーク
-オープンソースソフトウェアはどのようにして普及しているか?
-オープンソースソフトウェア(OSS)の利点
-OSS: 諸刃の剣
-公にアクセス可能なコードと脆弱性
-絶え間なき更新が必要
-検証と説明責任の欠如
-オープンソースコードに対する業界の露出
-保健医療セクターにおけるOSSの事例
-OSSを利用した医療機器に対する脅威
-医療における従来のOSSの脆弱性
-従来の脆弱性: Log4j
-従来の脆弱性: OpenEMR
-銀行における最近のOSSサプライチェーン攻撃
-国家におけるオープンソースソフトウェアの武装化
-攻撃で利用されるオープンソースツール
-オープンソースソフトウェア・レジストリ
-OSSレポジトリを利用した悪意あるキャンペーン
-悪意あるパッケージ感染手法
-悪意あるパッケージ攻撃向けの低減策
-オープンソースセキュリティとSLSA
-オープンソースソフトウェア(OSS)の評価
-ソフトウェア部品表(SBOMs)
-ソフトウェア構成分析(SCA)
-CISAオープンソースソフトウェア・セキュリティ・ロードマップ
-重要なポイント
ここでは、オープンソースソフトウェアの長所を挙げた上で、サイバーセキュリティからみたリスクおよびその低減策について触れています。
その上で、本文書の結論として、以下のようなポイントを挙げています。
・日本国内の医療機関でも、オープンソースソフトウェアの脆弱性に起因するサイバーセキュリティインシデント事案が続発しているが、個々の医療機関レベルで最新情報を収集・共有・分析するのに、リソース上の限界がある。特に中小規模医療機関のセキュリティ責任者は、組織や業種・業界の枠を越えて、オープンソースソフトウェアコミュニティとの広域連携による情報収集・分析活動の仕組みを取り入れていく必要がある。
・バイオ技術・製造など、医療機器・医薬品の研究開発領域でも、オープンソースソフトウェアの利用が急拡大している。特に医療機関とデータ連携した臨床開発業務においては、サプライチェーンエコシステム全体で、オープンソースソフトウェアの脆弱性に関する最新情報の収集や、パッチ当て、変更管理などの迅速な対応策が要求されるので、ユーザー部門や外部委託先におけるセキュリティ教育・啓発活動を強化する必要がある。
・日本国内で医療機関向けにIT製品・サービスを提供するサプライヤーは、各医療機関内において自社製品・サービスと連携する情報システムのオープンソースソフトウェア利用状況を把握した上で、継続的にモニタリングしながら、自らのサイバーサプライチェーンリスクマネジメントやインシデント対応計画に反映させる必要がある。
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事