　2023年1月30日、クラウドセキュリティアライアンス（CSA）のIoT（モノのインターネット）ワーキンググループ／健康医療情報管理ワーキンググループ／クラウドインシデント対応ワーキンググループは、「遠隔手術机上演習ガイドブック」（関連情報）を公開した。本ガイドは、医療提供施設が、ロボット支援手術（RAS）システムを標的とするセキュリティインシデントへの対応活動の手順に関する議論や評価を計画し、促進する際に役立てることを目的としており、CSA傘下の複数のワーキンググループや主要医療機関、MITRE、OWASPなどのサイバーセキュリティ専門家から成るグローバルなオープンサイエンスコミュニティーが策定したものである。筆者も、プロジェクト当初段階からコントリビューターとして参画してきたので、以下にその経緯を報告する。

　参考までに図1は、このコミュニティープロジェクトの活動ベースとなっているGitHub上の「IoT-Medical-Cloud」（関連情報）である。このコミュニティーでは、米国のみならず国境を越えて、医療機関や学術研究機関、セキュリティ企業などのホワイトハッカーに広く門戸を開放し、ボランティアベースの運営を行ってきた。ここで議論された攻撃フローが、実際にCSAのガイドブックで参照されている。

図1　CSA IoTWG／MITRE Collaboration「IoT-Medical-Cloud」（GitHub）［クリックで拡大］出所：CSA IoTWG / MITRE Collaboration on GitHub「Cloudsecurityalliance/IoT-Medical-Cloud」（2023年2月10日時点）

医療機器サイバーセキュリティにおけるCSAとOWASPの連携

　このプロジェクトに先立ち、CSAのIoTワーキンググループ／健康医療情報管理ワーキンググループは2018年8月7日、OWASPとの協働プロジェクトの成果物として、「OWASP セキュアな医療機器導入基準第2.0版」（関連情報）を公開していた。この文書は、医療機器を導入する医療機関向けに、医療施設内における医療機器のセキュアな導入のための包括的な指針を提供することを目的としており、表1のような概要になっている。

表1　「OWASP セキュアな医療機器導入基準第2.0版」の概要［クリックで拡大］出所：Cloud Security Alliance (CSA)／OWASP「OWASP Secure Medical Device Deployment Standard Version 2.0」（2018年8月7日）を基にヘルスケアクラウド研究会作成

　その後CSAのIoTワーキンググループ／健康医療情報管理ワーキンググループは、2020年3月16日に「クラウドに接続された医療機器の管理」（関連情報）と題する文書を公開している。この文書は、以下のような構成になっている。

イントロダクション
医療機器のセキュリティライフサイクル
調達前
調達後／展開前
- ネットワーク
- Webアプリケーションインタフェース
- 無線通信
- セキュアなコミュニケーションチャネル
実装／運用管理
- 分離段階0の機器
- 分離段階1の機器
- 分離段階2の機器
- 分離段階3の機器
- 分離段階4の機器
廃棄
提言と結論
参考文献

　この文書では、表2に示す通り、医療機器と患者の近接性を表す隔たりの程度によって、クラウド接続する機器を分類し、そのサポート責任の所在を明確化している。

表2　医療機器と患者の近接性を表す隔たりの程度による分類と責任の所在［クリックで拡大］出所：Cloud Security Alliance (CSA) 「Managing the Risk for Medical Devices Connected to the Cloud」（2020年3月16日）を基にヘルスケアクラウド研究会作成

　機器サポート責任についてみると、ベンダーと並んで、生命維持装置の取り扱いに関わる「臨床工学（Clinical Engineering）」の役割がクローズアップされている点が特徴だ。医療機器のクラウド接続を前提としたサイバーインシデント対応計画やセキュリティ演習計画を策定する場合、電子制御技術（OT）と情報技術（IT）が連携する臨床現場の最前線に位置する医療専門職（例：臨床工学技士）のコミットメントが不可欠である。

MITRE ATT&CKをベースとする医療機器向け脅威モデリングの活用

　　　　　　 1|2|3|4 次のページへ