連載
» 2021年12月17日 10時00分 公開

「欧州NIS指令2」で注目される医療機器メーカーのCSIRT/PSIRTの役割海外医療技術トレンド(78)(1/2 ページ)

本連載第33回で取り上げた「欧州NIS指令」だが、現在、改訂版の施行に向けた作業が急ピッチで進んでいる。

[笹原英司,MONOist]

 本連載第33回で取り上げた欧州NIS指令だが、現在、改訂版の施行に向けた作業が急ピッチで進んでいる。

⇒連載「海外医療技術トレンド」バックナンバー

EU規制対応でCSIRT/PSIRTの変革が求められる医療機器企業

 欧州連合(EU)のネットワーク・情報システムの安全に関する指令(NIS指令)は、2016年8月、EU全域に渡るネットワーク・情報システム全体のセキュリティとレジリエンス(障害許容力)のレベルを向上させることを目的として発効した法規制であり、エネルギー(電力、石油、ガス)、運輸(空運、鉄道、海運、陸運)、銀行、金融市場インフラストラクチャ、医療(病院、診療所)、飲料水供給・配送、デジタルインフラストラクチャ(ドメインネームサービス(DNS)プロバイダー、インターネットエクスチェンジ(IXP)、トップレベルドメイン(TLD)レジストリ)の各重要インフラを担う「重要サービスオペレーター(OES:Operator of Essential Services)」と、オンラインマーケットプレース、オンライン検索エンジン、クラウドコンピューティングサービスを提供する「デジタルサービスプロバイダー(DSP:Digital Service Provider)」を適用対象としている(零細・小規模企業は適用対象外)。

 NIS指令では、各加盟国単位で構築・運用されてきたコンピュータセキュリティインシデント対応チーム(CSIRT)間の連携・情報共有活動を、EU域内レベルに拡張することを主眼に置いている。重要サービスオペレーター(OES)に属する保健医療分野のCSIRT間のEU域内連携に合わせて、サプライヤー/パートナーに位置する医療機器企業も、CSIRTの組織体制を見直す必要に迫られている。

 他方、本連載第69回で触れたように、2021年5月26日、国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則および実践」(2020年3月18日最終版公表、関連情報、PDF)の要求事項を組み込んだEU域内統一ルールである「医療機器規則(MDR)」が適用開始となった。

 IMDRFサイバーセキュリティ原則では、情報共有の観点から、医療機器および接続された医療インフラストラクチャの安全性、有効性、完全性、セキュリティに影響を及ぼす可能性があるサイバーセキュリティインシデントや脅威、脆弱性に関する協働とコミュニケーションを促進するために、全てのステークホルダーが積極的に情報共有分析組織(ISAOs)へ参画するよう推奨している。医療機器企業に対しては、欧州だけでなく、北米やアジア諸国でも通用するような製品セキュリティインシデント対応チーム(PSIRT)の構築が求められている。

ENISAによる保健医療PSIRTの方向性の検討

 このような状況を踏まえ、欧州連合サイバーセキュリティ庁(ENISA)は、保健医療分野のCSIRT/PSIRT動向に焦点を当てた調査研究を行っている。例えば、2021年6月3日、「PSIRTの専門性とケーパビリティの構築 -保健医療とエネルギー」と題する報告書を公表している(関連情報)。

 本報告書は、NIS指令で指定されたエネルギーおよび保健医療セクターにおけるCSIRTとPSIRTのケーパビリティ状況に焦点を当てた研究成果をとりまとめたものであり、以下のような調査結果を示している。

組織、プロセス、ツール

  • 調査結果#1:インシデント対応プロセス以外では、PSIRTの活動と製品ライフサイクルにおける関与は異質である
  • 調査結果#2:第三者の脆弱性管理プラットフォーム採用は普及していない。これを利用する人々は、管理しやすく、可視性を改善するので、そのようにしている
  • 調査結果#3: PSIRTの多くが、基本的に報告・低減された脆弱性の数で効率性を追跡するにつれて、PSIRTの効率性評価が容易でないことが明らかになっている
  • 調査結果#4:PSIRTのメンバーは、製品セキュリティ領域の技術的スキルと、全ステークホルダー間の円滑な交換および協力を可能にするソフトなスキルの双方を有している

協力関係

  • 調査結果#5:PSIRTは、重要サービスオペレーター(OES)に影響を及ぼす脆弱性に取組むための特別な手順を有しておらず、NIS指令が、PSIRTの活動にそれほど影響を及ぼしたとは思われない
  • 調査結果#6:PSIRTは、お互いに協力しているが、正式化されたコミュニケーション情報交換の手順/標準規格/フレームワークの欠如によって、協力関係が覆い隠されている
  • 調査結果#7:CSIRTがより定期的な接触を求めているにもかかわらず、接点を作り、機微な情報を共有することが困難なために、PSIRTと既存のCSIRT(セクター/国家)との協力関係は発展途上段階にある
  • 調査結果#8:PSIRTを運営するEU企業はほぼ全てCSIRTを有しているが、予算やチームメンバー、スコープに関しては、ほとんど異なっている。双方の主体間の協力関係は、必要な際には強力で効率的であるように思われる

構築と可視性

  • 調査結果#9:PSIRTは、医療・エネルギーセクターよりも、産業・デジタルセクターで、より一般的である
  • 調査結果#10:PSIRTのサービス提供や活動の提示は、標準化されていない。誰が対処すべきか、どのエビデンスを提供すべきか、またはどのコミュニケーションツールを使用すべきかに関する標準化された参照文書がないために、これが、脆弱性報告の難しさの原因となっている
  • 調査結果#11:PSIRTが拡大する一方で、社外における可視性は低くとどまっている。その中には、内部ステークホルダーからの可視性が欠如している場合さえある
  • 調査結果#12:ENISA/EUがベストプラクティスや、標準規格、調和した認証制度を構築する必要性に関しては合意されているにもかかわらず、PSIRTの多くは、チームを設計・展開するために、外部ステークホルダーからの特別な支援やガイダンスを依頼したり、探したりしてこなかった

 そしてENISAは、これらの調査結果を踏まえ、以下のような提言を各ステークホルダー向けに行っている。

組織、プロセス、ツール

  • 提言1(対セキュリティチーム/PSIRT):
    製品チームによるアジャイル手法の採用が、DevOpsパイプラインにおける新たなツールの導入によって、またはグローバルな製品セキュリティ関連サービスの内部カタログの提供によって、PSIRTおよびセキュリティチームがセキュリティ課題に取組む機会となる可能性がある
  • 提言2(対PSIRT):
    PSIRTは、セキュリティトレーニングを受けたアプリケーションやソフトウェア開発の専門家から構成される学際的チームを構築するために尽力すべきである。PSIRTのメンバーは、身近なセキュリティおよび応用の課題に対する優れた技術的理解だけでなく、全てのステークホルダーと効果的にやりとりする優れたソフトのスキルを持ち、内部的であれ外部的であれ、円滑なインシデント対応(IR)処理を保証する必要がある

協力関係

  • 提言3(対CSIRT/PSIRT):
    インシデント対応チーム内で、開示された脆弱性情報の共有を促進するために、均等に増加する脆弱性の分量を考慮しながら、このプロセスを自動化する機械判読可能な標準規格を推進すべきである。これらの交換は、セキュアなコミュニケーションチャネルに依存すべきである
  • 提言4(対OES/PSIRT):
    情報交換の品質、流動性、透明性に関して、OESとPSIRTの間により強力なリンクを張る必要がある。OESが製品を使用しているか否かをPSIRTが知らない可能性がある場合、できれば、正式な情報開示に先立ってインパクトを低減するために、OESが、ベンダーのPSIRTから脆弱性情報を受け取れるようにするような法的・技術的フレームワークを構築・展開することがより効果的となる
  • 提言5(対ENISA/PSIRT):
    PSIRT間の連携を推進し、包括的なコミュニティーを構築するために、国家またはEUレベルで、集中型のイニシアチブまたはPSIRTの小規模グループによるイニシアチブのいずれかを通じて、PSIRTに特化した定期的なイベントを構築することが可能である。また、このようなイベントは、世界レベルで、幅広いコミュニティーの構築や、拡大するグローバルな情報セキュリティ課題の説明を促進することが可能である

構築と可視性

  • 提言6(対ENISA):
    新興型および定着型双方のPSIRTは、ENISAからより多くのガイダンスや支援を熱望している。これは、ガイドラインや一般的なセキュリティの提言、そしてよりグローバルなレベルで、ベストプラクティスを構築し、加盟国内のPSIRTおよびその他のインシデント対応チーム間の交換を改善することを目的としたハイレベルの協力フレームワークの形でもたらすことが可能である
  • 提言7(対PSIRT):
    RFC 2350で定義されたもののような表示基準は、提供の理解しやすさやPSIRTチームの可視性を改善するのに役立ち、脆弱性報告プロセスを推進する可能性がある。この文書は、大部分、RFC 2350で定義されたテンプレートに基づくことが可能である
  • 提言8(対PSIRT):
    外部ステークホルダーとのコミュニケーションや連携活動を促進するために、たとえ報告者やその他のインシデント対応チームであれ、PSIRTに対しては、専門のディレクトリ上で、チームや問い合わせ先情報を登録することを推奨すべきである
  • 提言9(対PSIRT):
    インシデント対応チームは、脆弱性報告プロセスを促進・構築するために、外部的な可視性の改善に尽力すべきである。これは、クライアントとのコミュニケーションや、インシデント対応コミュニティー(カンファレンス、作業部会など)へのより強い関与により、達成することが可能である
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.