よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (36 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
キュリティに影響し得るサイバーセキュリティのインシデント、脅威及び脆弱性に対す
る 協力 及びコ ミュ ニ ケ ーシ ョンを 強化 する ため 、情報 共有 分 析 機関 ( Information
Sharing Analysis Organizations:ISAOs)に積極的に参加することが奨励される。このよ
うな取り組みを行うことで、透明性を向上させることができる。ベストプラクティスと
して奨励されるもう一つの情報共有手法として、協調的な脆弱性の開示が挙げられる。
また、製造業者のみでなくヘルスケアプロバイダ及び医療機器ユーザにも当該ポリシー
を適用することは、エコシステムにとっても有益となり得る。規制当局には、患者安全
を国際的に保護し、維持するために、海外の規制当局と情報共有することが奨励される。
5.0 医療機器サイバーセキュリティの市販前考慮事項
医療機器のサイバーセキュリティは、製品の全ライフサイクルに渡って検討することが
望ましく、製造業者が医療機器の市販前の設計段階及び開発中に対応すべき重要な要素
がある。市販前の要素には、1) セキュリティ機能を製品に組み込むこと、2) 受容でき
るリスクマネジメント手法を適用すること、3) セキュリティ試験、医療機器をセキュ
アに運用するためのユーザに対する有益な情報提供及び市販後活動のための計画を立案
することが含まれる。製造業者は、前述の市販前要素を検討する際、意図したとおりの
利用環境に加え、合理的に予見可能な誤使用のシナリオを検討することが望ましい。以
下の各項では、これらの概念を概説すると共に、製品ライフサイクルの市販前段階にお
ける製造業者への推奨事項を例示する。なお、医療機器ソフトウェアのライフサイクル
活動は、 IEC 62304:2006/AMD 1:2015 に規定されている。
5.1
セキュリティ要求事項及びアーキテクチャ設計
脅威モデリング等、設計段階でサイバーセキュリティに積極的に対応することによって、
受動的な市販後活動のみを行うよりも患者危害の可能性をより緩和することが可能であ
る。このような設計インプットは、要求事項の捕捉、設計検証試験又は市販前及び市販
後のリスクマネジメント対応等、製品のライフサイクルを通した様々な段階において実
施される。
セキュリティ要求事項も、ライフサイクルの設計プロセスの要求事項取得の段階で特定
することが望ましい。セキュリティ要求事項及びセキュリティリスクコントロール手段
の情報源としては、AAMI TIR 57:2016、IEC TR 80001-2-2、IEC TR 80001-2-8、ISO
27000 シリーズ、NIST 刊行物(セキュアソフトウェア開発フレームワーク(Secure
Software Development Framework:SSDF)等)、OWASP 刊行物(設計原則に基づくセ
キ ュ リ テ ィ 等 ) 、 ENISA 刊 行 物 、 米 国 ヘ ル ス ケ ア 及 び 公 衆 衛 生 分 野 協 調 協 議 会
(Healthcare and Public Health Sector Coordinating Council:HSCC)合同サイバーセキュ
リティワーキンググループ(Joint Cyber Security Working Group:JCWG)の刊行物(合
同セキュリティ計画等)等がある。
製造業者が自社製品の設計で考慮することが望ましい設計原則を表 1 に示した。但し、
表 1 は完全なリストを意味するものではなく、あくまでも例示である。
2020/3/18
Page 11 of 51
13/53 ページ
キュリティに影響し得るサイバーセキュリティのインシデント、脅威及び脆弱性に対す
る 協力 及びコ ミュ ニ ケ ーシ ョンを 強化 する ため 、情報 共有 分 析 機関 ( Information
Sharing Analysis Organizations:ISAOs)に積極的に参加することが奨励される。このよ
うな取り組みを行うことで、透明性を向上させることができる。ベストプラクティスと
して奨励されるもう一つの情報共有手法として、協調的な脆弱性の開示が挙げられる。
また、製造業者のみでなくヘルスケアプロバイダ及び医療機器ユーザにも当該ポリシー
を適用することは、エコシステムにとっても有益となり得る。規制当局には、患者安全
を国際的に保護し、維持するために、海外の規制当局と情報共有することが奨励される。
5.0 医療機器サイバーセキュリティの市販前考慮事項
医療機器のサイバーセキュリティは、製品の全ライフサイクルに渡って検討することが
望ましく、製造業者が医療機器の市販前の設計段階及び開発中に対応すべき重要な要素
がある。市販前の要素には、1) セキュリティ機能を製品に組み込むこと、2) 受容でき
るリスクマネジメント手法を適用すること、3) セキュリティ試験、医療機器をセキュ
アに運用するためのユーザに対する有益な情報提供及び市販後活動のための計画を立案
することが含まれる。製造業者は、前述の市販前要素を検討する際、意図したとおりの
利用環境に加え、合理的に予見可能な誤使用のシナリオを検討することが望ましい。以
下の各項では、これらの概念を概説すると共に、製品ライフサイクルの市販前段階にお
ける製造業者への推奨事項を例示する。なお、医療機器ソフトウェアのライフサイクル
活動は、 IEC 62304:2006/AMD 1:2015 に規定されている。
5.1
セキュリティ要求事項及びアーキテクチャ設計
脅威モデリング等、設計段階でサイバーセキュリティに積極的に対応することによって、
受動的な市販後活動のみを行うよりも患者危害の可能性をより緩和することが可能であ
る。このような設計インプットは、要求事項の捕捉、設計検証試験又は市販前及び市販
後のリスクマネジメント対応等、製品のライフサイクルを通した様々な段階において実
施される。
セキュリティ要求事項も、ライフサイクルの設計プロセスの要求事項取得の段階で特定
することが望ましい。セキュリティ要求事項及びセキュリティリスクコントロール手段
の情報源としては、AAMI TIR 57:2016、IEC TR 80001-2-2、IEC TR 80001-2-8、ISO
27000 シリーズ、NIST 刊行物(セキュアソフトウェア開発フレームワーク(Secure
Software Development Framework:SSDF)等)、OWASP 刊行物(設計原則に基づくセ
キ ュ リ テ ィ 等 ) 、 ENISA 刊 行 物 、 米 国 ヘ ル ス ケ ア 及 び 公 衆 衛 生 分 野 協 調 協 議 会
(Healthcare and Public Health Sector Coordinating Council:HSCC)合同サイバーセキュ
リティワーキンググループ(Joint Cyber Security Working Group:JCWG)の刊行物(合
同セキュリティ計画等)等がある。
製造業者が自社製品の設計で考慮することが望ましい設計原則を表 1 に示した。但し、
表 1 は完全なリストを意味するものではなく、あくまでも例示である。
2020/3/18
Page 11 of 51
13/53 ページ