NISTサイバーセキュリティフレームワーク1.1版と医療機器：海外医療技術トレンド（35）（2/3 ページ）

[笹原英司，MONOist]

サイバーセキュリティにおける製品と企業のギャップを埋めることが課題

　次に図2は、組織内における情報と意思決定の共通フローを、経営トップ、ビジネス／プロセス、導入／オペレーションの3つのレベルから、俯瞰したものである。

図2　組織内における概念情報と決定フロー（クリックで拡大） 出典：National Institute of Standards and Technology「Framework for Improving Critical Infrastructure Cybersecurity Version 1.1」（2018年4月16日）

　通常、医療機器製品やデジタルヘルス関連サービスのサイバーセキュリティ対策を担うのは、導入／オペレーションのレベルであるが、重要インフラストラクチャのリスク管理に関わるビジネス／プロセスのレベルや、組織全体のリスク管理を統括する経営トップのレベルとの間で、日常的に認識のすり合わせや情報共有を行い、ギャップを埋めておく必要がある。

　本連載第10回で取り上げた、米国食品医薬品局（FDA）の医療機器サイバーセキュリティガイドラインは、どちらかといえば製品安全／セキュリティを念頭に置いているのに対し、NISTサイバーセキュリティフレームワークは、全社的なガバナンス体制まで包含したものになっている。

　最近は、重要インフラの制御セキュリティを所管する国土安全保障省（DHS）傘下のICS-CERTが、GE（関連情報：ICSMA-18-037-02）、フィリップス（関連情報：ICSMA-18-086-01）、ベクトンディッキンソン（関連情報：ICSMA-18-114-01）など、大手医療機器メーカーの製品／サービスに関連するセキュリティ脆弱性情報を公表するケースが増えており、製品と企業が一体化した取り組みが求められる。

　なお、サイバーセキュリティフレームワークに関わるトレーニング・人材育成策については、2017年8月にリリースされた「NIST SP 800-181: 全米サイバーセキュリティ教育イニシアチブ（NICE）サイバーセキュリティ・ワークフォース・フレームワーク」（関連情報）が参考になる。