連載
» 2022年06月17日 07時00分 公開

米国のデジタル駆動型バイオエコノミーとサイバーセキュリティ海外医療技術トレンド(84)(3/3 ページ)

[笹原英司,MONOist]
前のページへ 1|2|3       

ゲノムデータベースの起点となる次世代シーケンサーの脆弱性

 2022年6月2日、国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「ICS アドバイザリ(ICSA-22-153-02):イルミナLocal Run Manager(LRM)」と題する文書を発出し、注意喚起を行った(関連情報)。

図4 図4 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の次世代シーケンサーの脆弱性に関する注意喚起[クリックで拡大] 出所:Cybersecurity & Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local Run Manager」(2022年6月2日)

 脆弱性が確認されたのは、米国イルミナが製造した遺伝情報解析用次世代シーケンサーに使用されたLocal Run Manager (LRM)ソフトウェア(バージョン 1.3〜3.1)である。注意喚起の対象製品には、体外診断用医療機器に該当する製品(NextSeq 550Dx、MiSeq Dx)と、研究使用限定製品(NextSeq 500、NextSeq 550、MiSeq、iSeq 100、MiniSeq)がある。

 本連載第53回第76回で、医療機器に関わるサイバーセキュリティ情報共有におけるホワイトハッカーの役割の重要性に触れたが、今回のケースでは、英国のセキュリティ企業ペンテスト(Pentest)の研究者が脆弱性を発見してイルミナに報告したのが発端となっている。イルミナからの脆弱性報告を受けたCISAが脆弱性に関わるアドバイザリ情報を発出し、同じ日に、保健福祉省(HHS)傘下の米国食品医薬品局(FDA)も研究者や医療機関に対して注意喚起を行っている(関連情報)。

 CISAの発出情報によると、イルミナは、これらの脆弱性の遠隔での悪用に対する保護のために、ソフトウェアパッチを開発し、既存および将来の機器のために永久的なソフトウェアの修正を提供するために、積極的に活動しているとしている。

 さらにCISAは、この脆弱性の悪用によるリスクを最小化するために、以下のような予防策を推奨している。

  • 全ての制御システム機器および/またはシステムについてネットワークエクスポージャーを最小化し、インターネットからアクセスできないことを保証する
  • ファイアウォールの背後に制御システムネットワークと遠隔機器を設置し、ビジネスネットワークから分離する
  • 遠隔アクセスが要求されたら、仮想プライベートネットワーク(VPN)など、安全な方法を利用して、VPNに脆弱性がある可能性があることを認識しながら、利用可能な最新バージョンに更新すべきである。また、VPNは、接続された機器と同レベルの安全性しかないことを認識する

 イルミナの場合、外部のホワイトハッカーが同社製品のセキュリティに関する問題点を発見した場合のポリシー/手順やそれに基づくリスクコミュニケーション体制を構築/運用している(関連情報)。このような体制を維持するためには、平時、緊急時に関わらず、コーポレート部門のコンピュータセキュリティインシデント対応チーム(CSIRT)と事業部門の製品セキュリティインシデント対応チーム(PSIRT)、さらに外部のホワイトハッカーや情報報共有分析組織(ISAOs)とのエコシステムが実装されていることが必要だ。

 従来型の医療機器/医薬品の産業と比較して、バイオエコノミー産業は、研究開発から製造、物流、供給まで、ウェットからドライまで、ITからOTまでと、技術やビジネスプロセスの裾野が広いのが特徴だ。日本でも、厚生労働省が、健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの中で、サイバーセキュリティに関連する脅威情報について、各業界内で共有・分析するための組織ISACの医療版を設立する意向を示している(関連情報)が、バイオエコノミー関連施策についてみると、サイバーセキュリティ情報共有やホワイトハッカーとの協働などの議論はこれから始まる段階である。

 環境/気候変動の観点から「パーパス(purpose)」を掲げる欧州企業や、デジタル/サイバーセキュリティの観点からマルチステークホルダー経営を打ち出す米国企業の攻勢が顕在化するグローバルの状況下で、日本の医療機器企業や先進製造企業が、どのような役割を果たせるかが注目されている。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.