よむ、つかう、まなぶ。
医療機器のサイバーセキュリティの確保及び徹底に係る手引書について (23 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00010.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和3年度第2回 3/16)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別
五十
音順
さ
し
定義した用語
添
出典
サイバーセキュリティ
情報及びシステムが不正な活動(不正なアクセス、使用、開示、中断、改変、破壊
等)から保護されており、機密性、完全性、可用性に関するリスクがライフサイク
ル全体に渡って受容可能なレベルに維持されている状態
JIS T 81001-1 原案、
IMDRF ガイダンス和訳
より
サポート終了(End of Support:EOS)
製品のライフサイクルにおいて、製造業者が全てのサポート活動を中止する時点。
サービスサポートは、この時点を超えない。
IMDRF ガイダンス和訳
より
資産
個人、組織又は政府にとって価値のある、物理的又はデジタル形式のエンティティ
ISO/IEC JTC 1/SC 41
N0317、 2017-11-12
情報共有分析機関(Information Sharing and Analysis Organizations:ISAO)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、患者やユーザーとの連絡や
調整を含む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪
用を最小限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を
支援することが可能である。情報共有分析センター(Information Sharing and
Analysis Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連及び JAHIS(一般社団法人保健
医療福祉情報システム工業会)はオブザーバーとして参加しており、この各加盟団
体及び加盟企業は医療セプターのサイバーセキュリティ情報を活用できる。
侵入試験(ペネトレーションテスト)
侵入試験は組織のサーバやネットワークシステムに対して攻撃者が実際に侵入で
きるかどうかという点に着目して検査を行う。そのため、運用上のシステムに残存
している既知の脆弱性を狙ったり、設計段階での不備を突いたりして実施すること
になる。
IPA https://www.ipa.go.jp/security/vuln/fuzz̲faq.html
信頼境界
認証が要求される又は信頼レベルの変更(高いレベルから低いレベルへ、又はその
逆)が起こる箇所である境界を表現する脅威モデルの要素
JIS T81001-5-1 原案より
注釈 1:製品のユーザーに対する信頼境界の実施メカニズムは、通常、認証(例え
ば、チャレンジ・レスポンス、パスワード、生体認証又はデジタル署名)
、関連する
権限付与(例えば、アクセスコントロールルール)などがある。
注釈 2:データに対する信頼境界の実施メカニズムは、通常、ソース認証(例えば、
メッセージ認証コード及びデジタル署名)及び/又はコンテンツの検証などがあ
る。
せ
脆弱性
システムのセキュリティポリシーを破るために悪用される可能性のある、システム
の設計、実装又は運用・管理における欠陥又は弱点
JIS T 81001-1 原案より
一つ以上の脅威によって悪用される可能性のある資産又は管理策の弱点
JIS Q 27000:2019
セキュリティアドバイザリー
次のような情報を提供する。
・他社製品あるいは一般的な技術に関する脆弱性で自社製品に大きな影響を与える
もの
・自社関連の脆弱性に関する情報の捕捉、追加
・まだ修正モジュールが作成されていない脆弱性に関する情報
21
五十
音順
さ
し
定義した用語
添
出典
サイバーセキュリティ
情報及びシステムが不正な活動(不正なアクセス、使用、開示、中断、改変、破壊
等)から保護されており、機密性、完全性、可用性に関するリスクがライフサイク
ル全体に渡って受容可能なレベルに維持されている状態
JIS T 81001-1 原案、
IMDRF ガイダンス和訳
より
サポート終了(End of Support:EOS)
製品のライフサイクルにおいて、製造業者が全てのサポート活動を中止する時点。
サービスサポートは、この時点を超えない。
IMDRF ガイダンス和訳
より
資産
個人、組織又は政府にとって価値のある、物理的又はデジタル形式のエンティティ
ISO/IEC JTC 1/SC 41
N0317、 2017-11-12
情報共有分析機関(Information Sharing and Analysis Organizations:ISAO)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、患者やユーザーとの連絡や
調整を含む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪
用を最小限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を
支援することが可能である。情報共有分析センター(Information Sharing and
Analysis Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連及び JAHIS(一般社団法人保健
医療福祉情報システム工業会)はオブザーバーとして参加しており、この各加盟団
体及び加盟企業は医療セプターのサイバーセキュリティ情報を活用できる。
侵入試験(ペネトレーションテスト)
侵入試験は組織のサーバやネットワークシステムに対して攻撃者が実際に侵入で
きるかどうかという点に着目して検査を行う。そのため、運用上のシステムに残存
している既知の脆弱性を狙ったり、設計段階での不備を突いたりして実施すること
になる。
IPA https://www.ipa.go.jp/security/vuln/fuzz̲faq.html
信頼境界
認証が要求される又は信頼レベルの変更(高いレベルから低いレベルへ、又はその
逆)が起こる箇所である境界を表現する脅威モデルの要素
JIS T81001-5-1 原案より
注釈 1:製品のユーザーに対する信頼境界の実施メカニズムは、通常、認証(例え
ば、チャレンジ・レスポンス、パスワード、生体認証又はデジタル署名)
、関連する
権限付与(例えば、アクセスコントロールルール)などがある。
注釈 2:データに対する信頼境界の実施メカニズムは、通常、ソース認証(例えば、
メッセージ認証コード及びデジタル署名)及び/又はコンテンツの検証などがあ
る。
せ
脆弱性
システムのセキュリティポリシーを破るために悪用される可能性のある、システム
の設計、実装又は運用・管理における欠陥又は弱点
JIS T 81001-1 原案より
一つ以上の脅威によって悪用される可能性のある資産又は管理策の弱点
JIS Q 27000:2019
セキュリティアドバイザリー
次のような情報を提供する。
・他社製品あるいは一般的な技術に関する脆弱性で自社製品に大きな影響を与える
もの
・自社関連の脆弱性に関する情報の捕捉、追加
・まだ修正モジュールが作成されていない脆弱性に関する情報
21