重要情報インフラの中でも、サイバー攻撃による脅威の拡大が顕在化している米国の医療界。医療のICTサプライチェーンを担う医療機器企業に対するセキュリティの要求事項も高度化している。
米国では、サイバー攻撃による脅威などに関する情報を共有し、米国の重要インフラを保護するためのパートナーシップを官民が連携して構築するよう指示した大統領令(1998年)に基づき、金融、医療、エネルギー、通信などの主要セクターに情報共有/分析センター(ISAC:Information Sharing and Analytics Center)が設立された。
2003年には、各セクターのISACを取りまとめる組織として、国家ISAC協議会(NCI)が設立され、重大インシデント発生時には、国土安全保障省(DHS)傘下の国家インフラ調整センター(NICC:National Infrastructure Coordination Center)との連絡窓口として機能している。
このうち保健医療分野のISACについてみると、「ヘルスケア・レディ(Healthcare Ready)」と「国民健康情報共有・分析センター(NH-ISAC:National Health Information Sharing and Analytics Center)」がNCIに参画している。
ヘルスケア・レディは、2005年8月に発生したハリケーン「カトリーナ」の災害対策を契機に、米国赤十字社や医薬品製造/卸売/小売企業などが創設した「Rx Response」が前身だ。創薬の研究開発から医薬品流通に至るまで、バイオ/医薬品サプライチェーン全体の事業継続(BC)/災害対策(DR)に注力しており、日本との関係では、2011年3月に発生した東日本大震災の復旧/復興支援活動に協力した実績がある。
他方、NH-ISACは、2010年、サイバーセキュリティにおける官民連携パートナーシップの専門家デボラ・コブザ氏によって創設された保健医療ISACを運営する非営利組織だ。現在、金融サービス情報共有・分析センター(FS-ISAC)出身のデニス・アンダーソン氏がNH-ISACのプレジデントを務めている。アンダーソン氏は、並行してNCIの座長を務めており、他セクターのISACへの影響力も大きい(図1)。
医療機関、医療保険者の他、医薬品・医療機器企業、医療情報システムベンダーなどが参画し、保健福祉省(HHS)、国土安全保障省(DHS)、国立標準技術研究所(NIST)、国家安全保障局(NSA)、連邦捜査局(FBI)などの連邦政府機関と連携しながら、サイバーセキュリティ関連情報の収集/分析/共有活動に当たっている。
米国の主要な医療機関や医療保険者は、チーフ・インフォメーション・セキュリティ・オフィサー(CISO)を配置して、NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.0版」(関連情報、PDFファイル)や「連邦政府情報システムにおける推奨セキュリティ管理策改定第4版」(関連情報、PDFファイル)などを参照しながら、サイバー・インシデント・レスポンス・チーム(CIRT)の構築/運用を行っている。病院のCIRTが、サイバーセキュリティの分野で、NH-ISACやDHSのUS-CIRT、ICS-CIRT、FBIなどと連携するケースも珍しくない。
Copyright © ITmedia, Inc. All Rights Reserved.