よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (44 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
セキュアな設定を用いた機器の強化あるいは強化可能性に関する説明。セキュアな
設定とはマルウェア対策、ファイアウォール/ファイアウォール規則、ホワイトリス
ト、セキュリティイベントパラメータ、ロギングパラメータ、物理的セキュリティ
検出等のエンドポイント保護を含む。
必要に応じて、セキュアなネットワーク接続の展開及びサービスを可能にするため
の技術的指示、並びにサイバーセキュリティ脆弱性又はインシデントが検知された
際の対応方法に関するユーザへの指示
セキュリティ事象が検出された場合に、医療機器又は支援システムがユーザに異常
を通知する方法に関する説明。セキュリティ事象の種類としては、設定変更、ネッ
トワーク異常、ログイン試行、未知のエンティティに対する要求送信等の異常トラ
フィックが挙げられる。
認証された特権ユーザが、医療機器の設定を保存し、回復するための方法の説明
許可されたユーザが、製造業者からアップデートをダウンロードしてインストール
するための体系的な手順の説明。必要に応じて、セキュリティ設定又は使用環境を
変更することで生じるセキュリティリスクとその影響についても説明する。
医療機器のサイバーセキュリティサポート終了に関する情報(6.6 項「レガシー医療
機器」参照)
医療機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバ
ーセキュリティに関する情報及びサポートをオペレータに提供するためのソフトウ
ェア部品表(Software Bill of Materials:SBOM)。名前、作成元、バージョン、ビル
ド番号によって各ソフトウェア部品が特定されるため、SBOM を使用することで、
必要とされる透明性が確保される。SBOM は、患者及びヘルスケアプロバイダを含
む医療機器のオペレータが、その資産及び関連するリスクを効果的に管理し、医療
機器及び接続されるシステムに対して特定された脆弱性の潜在的影響を理解し、医
療機器の安全性及び基本性能を維持するための対応を可能にする。医療機器のオペ
レータは、SBOM を使用することにより、脆弱性が潜んでいる可能性があるソフト
ウェアの特定、要件の更新及び適切なセキュリティリスクマネジメントの実施を医
療機器製造業者と協力して促進することができる。SBOM を使用することにより、
アプリケーションで使用されているコンポーネントを可視化して顧客に提示できる
と共に、潜在的セキュリティリスクを特定できるため、購入決定に必要な情報を提
供することが可能となる。製造業者は、SBOM の展開で使用される形式、構文、マ
ークアップに関する業界のベストプラクティスを活用することが望ましい。SBOM
によって医療機器に関する機密情報が公開されるため、信頼できるコミュニケーシ
ョンチャネルを通じて SBOM を配布することが奨励される。オペレータへの SBOM
配布方法の信頼性は製造業者が決定する。
2020/3/18
Page 19 of 51
21/53 ページ
セキュアな設定を用いた機器の強化あるいは強化可能性に関する説明。セキュアな
設定とはマルウェア対策、ファイアウォール/ファイアウォール規則、ホワイトリス
ト、セキュリティイベントパラメータ、ロギングパラメータ、物理的セキュリティ
検出等のエンドポイント保護を含む。
必要に応じて、セキュアなネットワーク接続の展開及びサービスを可能にするため
の技術的指示、並びにサイバーセキュリティ脆弱性又はインシデントが検知された
際の対応方法に関するユーザへの指示
セキュリティ事象が検出された場合に、医療機器又は支援システムがユーザに異常
を通知する方法に関する説明。セキュリティ事象の種類としては、設定変更、ネッ
トワーク異常、ログイン試行、未知のエンティティに対する要求送信等の異常トラ
フィックが挙げられる。
認証された特権ユーザが、医療機器の設定を保存し、回復するための方法の説明
許可されたユーザが、製造業者からアップデートをダウンロードしてインストール
するための体系的な手順の説明。必要に応じて、セキュリティ設定又は使用環境を
変更することで生じるセキュリティリスクとその影響についても説明する。
医療機器のサイバーセキュリティサポート終了に関する情報(6.6 項「レガシー医療
機器」参照)
医療機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバ
ーセキュリティに関する情報及びサポートをオペレータに提供するためのソフトウ
ェア部品表(Software Bill of Materials:SBOM)。名前、作成元、バージョン、ビル
ド番号によって各ソフトウェア部品が特定されるため、SBOM を使用することで、
必要とされる透明性が確保される。SBOM は、患者及びヘルスケアプロバイダを含
む医療機器のオペレータが、その資産及び関連するリスクを効果的に管理し、医療
機器及び接続されるシステムに対して特定された脆弱性の潜在的影響を理解し、医
療機器の安全性及び基本性能を維持するための対応を可能にする。医療機器のオペ
レータは、SBOM を使用することにより、脆弱性が潜んでいる可能性があるソフト
ウェアの特定、要件の更新及び適切なセキュリティリスクマネジメントの実施を医
療機器製造業者と協力して促進することができる。SBOM を使用することにより、
アプリケーションで使用されているコンポーネントを可視化して顧客に提示できる
と共に、潜在的セキュリティリスクを特定できるため、購入決定に必要な情報を提
供することが可能となる。製造業者は、SBOM の展開で使用される形式、構文、マ
ークアップに関する業界のベストプラクティスを活用することが望ましい。SBOM
によって医療機器に関する機密情報が公開されるため、信頼できるコミュニケーシ
ョンチャネルを通じて SBOM を配布することが奨励される。オペレータへの SBOM
配布方法の信頼性は製造業者が決定する。
2020/3/18
Page 19 of 51
21/53 ページ