米国NISTが定めるIoT機器製造者向けセキュリティ指針と医療機器の関係性海外医療技術トレンド(60)(3/3 ページ)

» 2020年06月12日 10時00分 公開
[笹原英司MONOist]
前のページへ 1|2|3       

コミュニケーションを重視するIoT機器の市販後サイバーセキュリティ

 IoT機器の市販後フェーズにおける活動項目をみると、コミュニケーションを重視している点が注目される。このうち「活動5:顧客とコミュニケーションするアプローチを定義する」では、市販後コミュニケーションの対象顧客に応じて、IoT機器製造業者は、以下のような質問への回答を想定すべきであるとしている。

  1. 顧客はどんな用語を理解するか?
  2. 顧客はどの程度の情報を必要とするか?
  3. どんな方法で/どこで、情報を提供するか?
  4. どのような方法で、情報の完全性を検証できるか?
  5. 顧客は、製造業者としての自分とコミュニケーションする必要があるか?

 さらに、「活動6:顧客とコミュニケーションする内容とそれをコミュニケーションする方法を決定する」では、IoT機器製造者が顧客とのコミュニケーションに含めたいと考える以下の6項目について、想定すべき検討事項を挙げている。

  1. サイバーセキュリティリスクに関連する仮定
  2. サポートとライフスパンに対する期待
  3. 機器の構成と機能
  4. ソフトウェアのアップデート
  5. 機器の寿命の選択肢
  6. 技術的および非技術的手段

 折しも2020年3月18日、本連載第53回で取り上げた国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則とプラクティス」最終版が公開されている(関連情報、PDF)。NISTのIoT機器製造業者サイバーセキュリティ指針と同様に、IMDRFの医療機器サイバーセキュリティ指針も、市販前および市販後の各フェーズから構成されているが、市販後管理戦略では以下の5項目を考慮事項として掲げている。

  • 市販後監視
  • 脆弱性の開示
  • パッチ当てとアップデート
  • 復旧
  • 情報共有(例:ISAOs)

 医療機器の場合、市販後フェーズの対顧客コミュニケーションでは、メディカルアフェアーズ部門や医療機器情報担当者が重要な役割を果たしている。同じような仕組みがIoT機器製造者全体に広がるのか、それとも従来にない新たな仕組みや技術が導入されるのか、今後が注目される。

具体的なIoT機器サイバーセキュリティ機能を定義したNISTIR 8259A

 一方、「NISTIR 8259A:IoT機器サイバーセキュリティ機能コア・ベースライン」では、「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」をベースとしながら、組織の機器だけでなく機器データやシステムおよびエコシステムを保護する、共通のサイバーセキュリティコントロールをサポートするために必要なデバイス機能(IoT機器サイバーセキュリティ機能)を定義している。具体的な機能項目は以下の通りである。

  • デバイスの識別子
  • デバイスの構成
  • データ保護
  • インタフェースへの論理的アクセス
  • ソフトウェアのアップデート
  • サイバーセキュリティ状態への認識

 表1は、IoT機器サイバーセキュリティ機能のうち、デバイスの識別子に関する定義を示したものであり、機能の定義に続いて、共通要素、理論的根拠、IoTレファレンス例を整理している。

表1 表1 IoT機器サイバーセキュリティ機能:デバイスの識別子(クリックで拡大) 出典:NIST「IoT Device Cybersecurity Capability Core Baseline」(2020年5月29日)

 具体的な技術的サイバーセキュリティ対策の観点から入るのであれば、NISTIR 8259Aを参照した上で、組織的な仕組みや対策をまとめたNISTIR 8259を読んだ方が理解しやすい。

 米国のIoT製造サイバーセキュリティ動向をみると、医療機器や自動車など、セーフティに厳格な業種・業界における取り組みが先導役となり、消費者向けIoT機器へと広がっていったケースが多々見受けられる。

 加えて、IoTだけでなく、クラウドコンピューティング、ビッグデータ、フォグ/エッジコンピューティング、AI(人工知能)など、NISTが関わる新技術の標準化/共通化関連ドキュメントでは、健康医療やライフサイエンスに関わるユースケースが幅広く利用されている。その背景には、単一の企業や業種にとどまらない情報開示・共有、コミュニケーションに関わる制度的・技術的仕組みづくりの動きがある。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.