次に図2は、今回の草案が、最終的にネットワークセグメンテーションとコントロールのターゲットとしているネットワークインフラストラクチャの全体イメージ(例)を示している。セグメンテーションについてみると、コアネットワーク、ゲストネットワーク、ビジネスオフィス、データベースサーバ、エンタープライズサービス、臨床サービス、バイオメディカル・エンジニアリング、無線LAN付き医療デバイス、外部ベンダーサポート用の遠隔アクセスなど、多岐にわたるゾーンが設定されている点が特徴だ。
サイバーセキュリティのコントロールについて、草案では、情報が静止時か移動時かに関わらず、医療提供組織で利用される情報を保護するように、臨床中心のネットワークを設計すべきであると推奨している。また、法令順守の要求事項を満たすために、さまざまなサイバーセキュリティのベストプラクティスが医療提供組織に適用できるとしている。具体的なコントロールの対象として以下のような項目を挙げて、個別に概説している。
草案では、このような管理策を踏まえた上で、無線輸血ポンプのエコシステムのライフサイクルにおけるサイバーセキュリティ課題、セキュリティ特性分析、機能評価を展開している。ライフサイクルに関わるIT資産管理について、「NIST SP 1800-5: 金融サービスセクターのIT資産管理」を参照するなど、業種・業界横断的なアプローチを採っている点が、NISTならではの特徴を表している。
なお、草案全体の概要については、以下のような内容でサマリーが示されている。
どちらかといえば、プロダクトアウト型のアプローチで、バリューチェーンの上流から下流へと製品サイバーセキュリティ対策を進めるFDAに対して、NISTのガイドライン草案は、医療機関側の視点に立ったマーケットイン型のサービスモデルとしてのサイバーセキュリティ対策を追求する流れになっていて興味深い。
オバマ政権からトランプ政権のサイバーセキュリティ戦略に引き継がれた、NH-ISACに代表される情報共有・分析組織(ISAO:Information Sharing Analytics Organization)の有効活用の観点からも、プロダクトアウト型のアプローチとマーケットイン型のアプローチの連携・融合が不可避となってくるだろう。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.