IoTデバイスのセキュリティリスク管理は医療機器業界の共通課題である。重要情報インフラに関わる医療機器ユーザーの技術標準化視点に立ったサイバーセキュリティのガイドライン整備を進めてきた米国のNIST（国立標準技術研究所）が2019年6月25日、IoTデバイスのセキュリティに関連する新たなガイドラインを公表した。

» 2019年07月12日 10時00分公開

[笹原英司，MONOist]

⇒連載「海外医療技術トレンド」バックナンバー

米国NISTがIoTセキュリティ／プライバシーリスク管理指針草案を公表

　米国では、医療機器を所管する食品医薬品局（FDA）と並んで、国立標準技術研究所（NIST）が、本連載第4回で取り上げた「サイバーフィジカルシステムのフレームワーク1.0版」（関連情報）、連載第25回で取り上げた「NIST SP 1800-8：医療提供組織における無線輸血ポンプのセキュア化」（関連情報）、連載第35回で取り上げた「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版」（関連情報）、連載第38回で取り上げた「NIST SP 1800-1：モバイルデバイス上の電子健康記録のセキュア化」（関連情報）など、重要情報インフラに関わる医療機器ユーザーの技術標準化視点に立ったサイバーセキュリティのガイドライン整備を進めてきた。

　2019年6月25日、NISTは、「NIST IR 8228：インターネット・オブ・シングス（IoT）のサイバーセキュリティとプライバシーリスクを管理する際の考慮事項」（関連情報）と題するガイドラインを公表した。本ガイドラインは、連邦政府機関およびその他の組織が、デバイスのライフサイクルを通じて、個々のIoTデバイスに関連するサイバーセキュリティやプライバシーの理解や管理を向上させることを支援するために策定されたものである。

　NISTが今回公表したガイドラインは、以下のような構成になっている。

1．序論
2．IoTデバイスの機能
3．サイバーセキュリティとプライバシーリスクの考慮事項
- 3.1 デバイスと物理的世界の相互作用
- 3.2 デバイスのアクセス、管理、モニタリング機能
- 3.3 サイバーセキュリティとプライバシー機能の可用性、効率性、有効性
4．IoTデバイスのためのサイバーセキュリティとプライバシーリスク低減に伴う課題
- 4.1 目標1．デバイス・セキュリティ保護を達成する際の潜在的課題
- 4.2 目標2. データ・セキュリティ保護を達成する際の潜在的課題
- 4.3 目標3. 個人のプライバシー保護を達成する際の潜在的課題
5．IoTデバイスのためのサイバーセキュリティとプライバシーリスク低減の課題への取り組みに向けた提言
- 5.1 組織的ポリシーと手順の調整
- 5.2 最新のリスク低減プラクティスの導入

　これらのうち「2．IoTデバイスの機能」では、図1の通り、サイバーセキュリティとプライバシーリスクに潜在的な影響があるIoTデバイスの機能を示している。

図1　サイバーセキュリティとプライバシーリスクに潜在的な影響があるIoTデバイスの機能（クリックで拡大）出典：NIST「NISTIR 8228 Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks」（2019年6月25日）

　変換器（Transducer）機能は、物理的世界と相互に作用し、デジタルと物理的環境の間の境界として機能するものであり、センシングやアクチュエイティングが含まれる。次に、インタフェース（Interface）機能は、デバイスの相互作用を可能にするものであり、アプリケーションインタフェース、ヒューマンユーザーインタフェース、ネットワークインタフェースが含まれる。そして、支援（Supporting）機能は、他のIoTの性能を支援する機能を提供するものであり、例として、デバイス管理、サイバーセキュリティ、プライバシーなどが含まれる。これらの機能は、医療機器にも共通したものである。

　図2は、サイバーセキュリティとプライバシーリスクの関係を示したものであり、サイバーセキュリティのリスクとプライバシーのリスクが重なり合う部分を、個人識別情報（PII）のサイバーセキュリティと位置付けている。