国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に：海外医療技術トレンド（53）（2/4 ページ）

[笹原英司，MONOist]

部品表（BOM）を有効活用した市販前サイバーセキュリティ対策へ

　医療機器サイバーセキュリティ原則草案では、一般原則に続いて、医療機器製造業者向けの市販前考慮事項として、以下のような項目を掲げている。

• セキュリティ要求事項とアーキテクチャ設計
• リスクマネジメント
• セキュリティテスト
• 市販後管理戦略
• 表示または利用者セキュリティ文書
• 規制提出要求事項

　このうち、「セキュリティ要求事項とアーキテクチャ設計」では、設計原則として、以下の7項目を掲げている。

• セキュアな通信
• データの機密性
• データの完全性
• ユーザーアクセス
• ソフトウェアのメンテナンス
• ハードウェアまたは物理的設計
• 信頼性と可用性

　「リスクマネジメント」では、1）サイバーセキュリティの悪用可能性、2）脆弱性が悪用された場合の患者に及ぶ害の重大度 にフォーカスしたリスク分析を実施すべきだとしている。その上で、以下のようなリスク評価手法を挙げている。

• セキュリティリスク評価
• 脅威モデル
• 脆弱性スコアリング

　「セキュリティテスト」では、医療機器製造業者向けの考慮事項として、以下の3項目を掲げている。

• ソフトウェアコンポーネント／モジュールにおける既知の脆弱性またはソフトウェアの弱点に関するターゲット検索の実行
• 技術的セキュリティ分析（例：ペネトレーションテスト）の実行
• 脆弱性評価の遂行

　「市販後管理戦略」では、計画策定の際の考慮事項として、以下の5項目を揚げている。

• 市販後監視
• 脆弱性の開示
• パッチ当てとアップデート
• 復旧
• 情報共有（例：ISAOs）

　「表示または利用者セキュリティ文書」では、製造業者による技術文書の例として、次世代自動車向け車載ソフトウェアの設計・開発プロセスなどで利用されている「ソフトウェア部品表（SBOM）」を挙げている点が注目される。

　連載第49回で触れたオーストラリア薬品・医薬品行政局（TGA）の「業界向け医療機器サイバーセキュリティ・ガイダンス第1版」（関連情報）では、サイバーセキュリティリスクのモニタリングプロセスにおいて、SBOMの維持を求めている。なおTGAは、SBOMについて、医療機器内部で使用されるソフトウェアコンポーネントの一覧表で、サードパーティーソフトウェア、開発過程が不明なソフトウェア（SOUP）、該当する場合のバージョン番号を含むと記述している。

　また、連載第41回で触れた米国FDAの「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス草案」（関連情報）や、第43回で触れたカナダ保健省の「ガイダンス文書：医療機器サイバーセキュリティの市販前要求事項」（関連情報）では、「サイバーセキュリティ部品表（CBOM）」という用語が使われている。なお、カナダ保健省は、CBOMについて、脆弱性の影響を受けるまたは受ける可能性がある医療機器に含まれる、商用、オープンソース、汎用のソフトウェアやハードウェアのコンポーネントなどを含む一覧表と記述している。

　どちらかといえばクローズな環境で設計・開発・製造を行ってきた製造業にとって、企業組織の枠を超えたSBOMやCBOMの有効活用は、大きな課題となるだろう。

　「規制提出要求事項」では、以下の通り、「セキュリティ要求事項とアーキテクチャ設計」から「表示または利用者セキュリティ文書」に至るまでのプロセスで文書化した成果物を提出するよう求めている。

• 設計文書
• リスクマネジメント文書
• セキュリティテスト文書
• 市販後管理計画
• 表示または利用者セキュリティ文書