　GAOは、米国の医療サイバーセキュリティ政策に大きな影響を与えてきた。過去には、2012年8月31日に発行した「医療機器：FDAは特定タイプ機器向けの情報セキュリティ考慮事項を拡張すべきである」（関連情報）と題する報告書の中で、ペースメーカーやインスリンポンプなど医療機器の情報セキュリティ脅威課題を取り上げ、FDAに対して、情報セキュリティリスクに対する注力を拡大し、これらのリスクに対処するための包括的な計画を策定するよう勧告した。これを受けてFDAは、市販前および市販後の医療機器サイバーセキュリティガイダンスを整備した経緯がある。参考までに、GAOの過去の報告書および勧告に対する各政府機関の改善の進捗状況は「勧告データベース」（関連情報）で公開されている。

　今回は、GAOの重要インフラ（医療を含む）のサイバーセキュリティ関連報告書より、IoT／OTに関わる保健医療行政機関の対応策の推移をみていく。

　2020年12月4日、第1次トランプ政権下で制定されたのが「2020年IoTサイバーセキュリティ改善法」（関連情報）である。同法は、国立標準技術研究所（NIST）に対して、連邦政府向けに各機関が所有／管理するIoTデバイスの使用および管理に関する標準規格やガイドラインを作成し、公開するよう求めた。また同法は、23の文民連邦政府機関に対して、IoTサイバーセキュリティ要求事項を実装するよう求めると同時に、行政管理予算局（OMB）に対して、これらの要求事項を猶予する場合のプロセスを確立するよう求めた。その上で、GAOに対して、IoTおよびOTのサイバーセキュリティの取り組みについて、2026年までの2年ごとに報告するよう規定している。

　その2年後の2022年12月1日、バイデン政権下のGAOは、「重要インフラストラクチャ：インターネット接続デバイスのセキュリティを強化するために必要なアクション」（関連情報）と題する報告書を公表した。この報告書は、IoTサイバーセキュリティ改善法に基づく1回目の報告書であり、以下の3点を目的としている。

（1）連邦政府の全体的なIoT／OTサイバーセキュリティの取り組みを説明する
（2）IoT／OTサイバーセキュリティを強化するために、主要セクターで責任を有する連邦政府機関（HHS含む）の活動を評価する
（3）IoTサイバーセキュリティに関する主要なガイダンスを特定し、IoTデバイスのサイバーセキュリティ要求事項を猶予するOMBのプロセスの状況を判断する

　図1は、IT、IoT、OTの相互関係を示したものである。

図1　IT、IoT、OTの相互関係［クリックで拡大］出所：U.S. Government Accountability Office (GAO)「Critical Infrastructure: Actions Needed to Better Secure Internet-Connected Devices」（2022年12月1日）を基にヘルスケアクラウド研究会作成

　そして表1は、重要インフラ全般のIoT／OTデバイスやネットワークに影響を及ぼす可能性があるサイバー攻撃の種類を整理したものである。この中には、後述するランサムウェアも含まれている。

表1　重要インフラのIoT／OTデバイスやネットワークに影響を及ぼす可能性があるサイバー攻撃の種類［クリックで拡大］出所：U.S. Government Accountability Office (GAO)「Critical Infrastructure: Actions Needed to Better Secure Internet-Connected Devices」（2022年12月1日）を基にヘルスケアクラウド研究会作成

　2022年12月のGAO報告書では、米国の重要インフラとして位置づけられる16セクター（化学、商業施設、通信、重要製造業、ダム、防衛産業基盤、緊急サービス、エネルギー、金融サービス、食料・農業、政府サービス・施設、医療・公衆衛生、情報技術、原子炉・材料・廃棄物、輸送システム、上下水道システム）のうち、特に、エネルギーセクター（所管：エネルギー省）、医療・公衆衛生セクター（所管：HHS）、運輸システムセクター（所管：国土安全保障省、運輸省）の3つを取り上げて調査、分析を行っている。

医療分野における包括的なIoT／OTリスク評価の実行が継続的課題に

　　　　　　 1|2|3 次のページへ