最新動向/市場予測

米国HIMSSがNISTサイバーセキュリティフレームワーク1.1版第2草案に関するコメントを提出

【第51号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年1月22日、米国の医療情報管理システム学会(HIMSS)は、国立標準技術研究所(NIST)が2017年12月5日に公表した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版第2草案」に対するコメントを提出しました。

第51号 2018.1.22公開

HIMSSは、2016年9月30日に「行動喚起」を承認して以来、包括的なセキュリティ対策の採用や、医療サイバーセキュリティ人材の育成を推進する活動に取り組んできた経緯から、フレームワーク1.1版第2草案全体の方向性に対する支持を表明しています。

その上で、フレークワークは、情報技術(IT)と制御技術(OT)の資産に係るリスクを評価・管理する方法についてより詳細に取扱うべきであるとしています。また、IoMT(Internet of Medical Things)に関連して、HIMSSは、医療における重要インフラストラクチャの所有者および運営者を支援するためのガイダンスの必要性を訴えています。

さらに、2017年のマルウェア「NotPetya」被害を契機に、サプライチェーンの完全性とセキュリティの重要性を認識したことから、フレームワークにサイバーサプライチェーン・リスクマネジメント(C-SCRM)を含めることに対して支援を表明する一方、この問題に関する指針を追加するよう提言しています。

そして、HIMSSは、NISTフレームワークについて、国家インフラストラクチャ保護計画(NIPP)や国家サイバーインシデント対応計画(NCIRP)と歩調を合わせるべきであるとしています。「NotPetya」や「WannaCry」のサイバーインシデントを受けて、一層の結束、調整、情報共有などが必要であるとしています。

なお、HIMSSは、2015年12月11日、NISTが、サイバーセキュリティフレームワーク1.0版に関する意見を求める情報提供依頼書(RFI:Request for Information)を発行した際にも、意見書を提出しています。HIMSSは、サイバーセキュリティリスク管理上の目指す目標を達成するために必要な成果を示す「目標のプロファイル」が具体的に定義されていない点を指摘し、「現在のプロファイル」との間のギャップ分析を可能にする定量指標/ツール類の必要性を訴えました。また、各医療施設が導入/運用するサイバーセキュリティ管理プログラムを継続的に向上させるために、電力業界向けサイバーセキュリティ成熟度モデル「ES-C2M2:Electricity Subsector Cybersecurity Capability Maturity Model」に匹敵するような医療分野の成熟度モデルの開発の必要性を訴えていました。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・電力業界、製造業界などで議論されてきたサイバーサプライチェーン・リスクマネジメント(C-SCRM)における情報技術(IT)と制御技術(OT)の連携が、重要インフラを構成する医療施設の間でも、新たな課題となる可能性がある。

医療機器メーカー

・NISTサイバーセキュリティフレームワーク1.1版に基づくパートナー/サプライヤーとして、医療機器メーカーに対し、セキュリティ重視の情報技術(IT)とセーフティ重視の制御技術(OT)の連携が求められる可能性がある。

製薬メーカー

・パートナー/サプライヤーとしての製薬企業に対し、FDAが所管する医薬品サプライチェーン安全保障法(DSCSA)に加えて、NISTサイバーセキュリティフレームワーク1.1版に基づくセキュリティ要求事項遵守が求められる可能性がある。

サプライヤー

・NISTサイバーセキュリティフレームワーク1.1版に基づくサイバーサプライチェーン・リスクマネジメント(C-SCRM)の要求事項が、医療施設によるパートナー/サプライヤー選定時の調達基準に加えられる可能性がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

 

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?