最新動向/市場予測

米国医療サイバーセキュリティ団体が情報共有分析組織一覧を公表

【第93号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年9月9日、米国の医療・公衆衛生セクター調整委員会(HSCC)は、「2019年保健セクター向けサイバーセキュリティリソース第4版:情報共有組織の保健医療産業サイバーセキュリティ・マトリックス(HIC-MISO)」を公表しました。HSCCは、重要医療インフラストラクチャへの脅威を低減するための共同ソリューションを開発する保健医療企業およびプロバイダー業界の官民連携パートナーシップ組織です。

第93号 2019.10.16公開

HIC-MISOは、保健医療セクターにおける情報共有分析組織(ISAO)およびその主要サービスを特定することを目的としており、具体的には以下の組織が掲載されています。

  1. 保健福祉省 事前準備・対応担当次官補局(HHS ASPR)
  2. 保健福祉省 保健医療セクターサイバーセキュリティ調整センター(HHS HC3)
  3. 医療情報共有・分析センター(H-ISAC)
  4. HITRUST
  5. 医療機器情報共有分析組織(Med-ISAO)
  6. 医療・公衆衛生セクター調整委員会(HPH-SCC)
  7. 医療・公衆衛生共同サイバーセキュリティワーキンググループ
  8. サイバー保健医療ワーキンググループ(CHWG)
  9. 先進医療技術協会 医療技術情報共有分析組織(AdvaMed MedTech ISAO)
     

またHIC-MISOでは、セクター横断的なサイバーセキュリティ情報共有分析組織として、以下の組織も掲載されています。

  1. 国土安全保障省 国家サイバーセキュリティ通信統合センター(DHS NCCIC)
  2. 国土安全保障省 重要インフラストラクチャ・サイバーコミュニティ(DHS C³)
  3. 国土安全保障省 米国コンピューター緊急準備チーム(DHS US-CERT)
  4. 国土安全保障省 サイバーセキュリティ・インフラストラクチャセキュリティ庁(DHS CISA)
  5. 国土安全保障省 国家インフラストラクチャ調整センター(DHS NICC)
  6. 国土安全保障省 国家リスク管理センター(DHS NRMC)
  7. 国土安全保障省 国土安全情報ネットワーク(DHS HSIN)
  8. 国土安全保障省 サイバー情報共有・連携プログラム(DHS CISCP)
  9. 国土安全保障省 自動検知指標共有(DHS AIS)
  10. 国土安全保障省 サイバーセキュリティアドバイザープログラム(DHS CSA)
  11. 連邦捜査局 インフラガードプログラム(FBI Infragard)
  12. インターネットセキュリティセンター(CIS)
  13. センサト(Sensato)
  14. ミトレ 共通脆弱性タイプ一覧(MITRE CWE)
  15. 複数州間情報共有分析センター(MS-ISAC)
  16. 情報共有分析標準化機構(ISAO.org)


なおHSCCは、サイバーセキュリティ情報共有分析組織を構築するプロセスとして、以下の3つを示しています。

  1. 入手可能な情報ソースの研究
  2. 情報フローチャートの構築
  3. ソースとプロセスの調整

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・米国の重要インフラの一翼を担う医療機関のセキュリティ・インシデント対応・情報共有/分析業務には、保健福祉省(HHS)および保健医療関係情報共有/分析組織だけでなく、国土安全保障省(DHS)、連邦捜査局(FBI)なども、直接的・間接的に関与していることが明示された。病院側は、一元的なリスクコミュニケーション窓口を設置して、コンピューター・セキュリティ・インシデント対応チーム(CSIRT)業務の共通化・効率化に努める必要がある。
 

医療機器メーカー

・市販後医療機器に係る脆弱性情報については、国土安全保障省(DHS)傘下の サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から最初に発出されるケースが増えているので、保健福祉省(HHS)および保健医療関係情報共有/分析組織とCISAの間のハーモナイゼーションに配慮する必要がある。
 

医療品メーカー

・米国市場で医療ソフトウェアやデジタルヘルス領域に参入する医薬品メーカーは、医療機器と同等レベルのセキュリティ・インシデント対応・情報共有/分析機能が要求されるので、その点を考慮した市販後安全対策機能の強化を図る必要がある。
 

サプライヤー

・米国市場で医療機関や医療機器メーカー、医薬品メーカー向けにICT関連製品・サービスを提供するサプライヤーは、サイバーサプライチェーン・リスクマネジメントの観点から、どのサイバーセキュリティ情報共有/分析組織と直接的・間接的に連携するかを確認した上で、最低限必要なサイバーセキュリティ対策を講じる必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?