図4　米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の次世代シーケンサーの脆弱性に関する注意喚起［クリックで拡大］出所：Cybersecurity & Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local Run Manager」（2022年6月2日）

　脆弱性が確認されたのは、米国イルミナが製造した遺伝情報解析用次世代シーケンサーに使用されたLocal Run Manager （LRM）ソフトウェア（バージョン 1.3～3.1）である。注意喚起の対象製品には、体外診断用医療機器に該当する製品（NextSeq 550Dx、MiSeq Dx）と、研究使用限定製品（NextSeq 500、NextSeq 550、MiSeq、iSeq 100、MiniSeq）がある。

　本連載第53回や第76回で、医療機器に関わるサイバーセキュリティ情報共有におけるホワイトハッカーの役割の重要性に触れたが、今回のケースでは、英国のセキュリティ企業ペンテスト（Pentest）の研究者が脆弱性を発見してイルミナに報告したのが発端となっている。イルミナからの脆弱性報告を受けたCISAが脆弱性に関わるアドバイザリ情報を発出し、同じ日に、保健福祉省（HHS）傘下の米国食品医薬品局（FDA）も研究者や医療機関に対して注意喚起を行っている（関連情報）。

　CISAの発出情報によると、イルミナは、これらの脆弱性の遠隔での悪用に対する保護のために、ソフトウェアパッチを開発し、既存および将来の機器のために永久的なソフトウェアの修正を提供するために、積極的に活動しているとしている。

　さらにCISAは、この脆弱性の悪用によるリスクを最小化するために、以下のような予防策を推奨している。

全ての制御システム機器および／またはシステムについてネットワークエクスポージャーを最小化し、インターネットからアクセスできないことを保証する
ファイアウォールの背後に制御システムネットワークと遠隔機器を設置し、ビジネスネットワークから分離する
遠隔アクセスが要求されたら、仮想プライベートネットワーク（VPN）など、安全な方法を利用して、VPNに脆弱性がある可能性があることを認識しながら、利用可能な最新バージョンに更新すべきである。また、VPNは、接続された機器と同レベルの安全性しかないことを認識する

　イルミナの場合、外部のホワイトハッカーが同社製品のセキュリティに関する問題点を発見した場合のポリシー／手順やそれに基づくリスクコミュニケーション体制を構築／運用している（関連情報）。このような体制を維持するためには、平時、緊急時に関わらず、コーポレート部門のコンピュータセキュリティインシデント対応チーム（CSIRT）と事業部門の製品セキュリティインシデント対応チーム（PSIRT）、さらに外部のホワイトハッカーや情報報共有分析組織（ISAOs）とのエコシステムが実装されていることが必要だ。

　従来型の医療機器／医薬品の産業と比較して、バイオエコノミー産業は、研究開発から製造、物流、供給まで、ウェットからドライまで、ITからOTまでと、技術やビジネスプロセスの裾野が広いのが特徴だ。日本でも、厚生労働省が、健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの中で、サイバーセキュリティに関連する脅威情報について、各業界内で共有・分析するための組織ISACの医療版を設立する意向を示している（関連情報）が、バイオエコノミー関連施策についてみると、サイバーセキュリティ情報共有やホワイトハッカーとの協働などの議論はこれから始まる段階である。

　環境／気候変動の観点から「パーパス（purpose）」を掲げる欧州企業や、デジタル／サイバーセキュリティの観点からマルチステークホルダー経営を打ち出す米国企業の攻勢が顕在化するグローバルの状況下で、日本の医療機器企業や先進製造企業が、どのような役割を果たせるかが注目されている。

筆者プロフィール

笹原英司（ささはらえいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara

≫連載「海外医療技術トレンド」バックナンバー
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局（FDA）の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
日本の一足先を行く米国のコミュニケーション重視型医療機器サイバーセキュリティ
本連載第69回で欧州連合の医療機器サイバーセキュリティ政策動向を取り上げたが、今回は米国の最新動向を整理してみたい。
米国の医療DXを支えるブロックチェーンと分散台帳はオバマ政権時代からの積み重ね
本連載の第23回や第65回で触れたように、米国の保健医療行政機関がDX（デジタルトランスフォーメーション）施策を本格化させる中、変革ツールとしてブロックチェーン／分散台帳技術が注目されている。
国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス（SaMD）の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI（人工知能）活用の前提条件になってきそうだ。
欧州の保健医療機関はなぜ気候変動や環境問題に取り組むのか
2019年9月23日の国連気候行動サミット2019で脚光を浴びた気候変動／環境問題は、欧州の保健医療分野が直面する社会課題でもある。