第2次トランプ政権下のゲノムデータ管理とプライバシー強化技術：海外医療技術トレンド（115）（4/4 ページ）

[笹原英司，MONOist]

ゲノムデータシーケンスの脅威モデリング構築に向けた取り組み

　なお、本連載第92回で触れたように、米国食品医薬品局（FDA）の資金助成を受けた非営利団体MITREは、医療分野の脆弱性モデリングプロセスの標準化／自動化に向けた研究開発活動を行っている。NCCoEはMITREなどと連携しながら、2024年2月26日、IR 8467第2初期草案に加えて、「CSWP 35ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：データシーケンス・解析向けの脅威モデル実装事例」草案（関連情報)を公表し、パブリックコメントの募集を開始している（募集期間：2025年1月30日まで）。

　CSWP 35草案は、反復的な手法を使用してゲノムデータ処理環境における潜在的な脅威を評価することを目標としている。ここで具体的なユースケースを提供し、組織が自らの環境でサイバーセキュリティの脅威とその対策を特定するためのアプローチとして適用できるようにすることを目指している。具体的には以下のような構成となっている。

• エグゼクティブサマリ
• 1．イントロダクション
  • 1.1．ユースケースとスコープ
  • 1.2．組織的調整
  • 1.3．脅威とリスク
  • 1.4．脅威モデリングの概要
  • 1.5．対象読者
• 2．脅威モデリングの例
  • 2.1．質問1：私たちは何に取り組んでいるか？
    • 2.1.1．ゲノムシーケンスサボのデータフローダイヤグラム
    • 2.1.2．研究パートナーのデータフローダイヤグラム
    • 2.1.3．高価値なデータフロー（HVD）の概要
    • 2.1.4．ゲノムシーケンスラボのHVD事例
    • 2.1.5．研究パートナーのHVD
  • 2.2．質問2：何が問題になる可能性があるか？
    • 2.2.1．なりすまし、改ざん、否認、情報開示、権限昇格（STRIDE）
    • 2.2.2．主要なSTRIDEの結果
    • 2.2.3．攻撃ツリー
  • 2.3．質問3：それに関して何をしているのか？
    • 2.3.1．ゲノムデータへのブローカーのアクセス
    • 2.3.2．ネットワーク分離とファイアウォールの利用
    • 2.3.3．クラスタファイルシステム上のRBAC利用
    • 2.3.4．すべてのユーザーの認証と認可
    • 2.3.5．環境への物理的アクセスの制限
    • 2.3.6．ゲノムデータ向けデータ保持ポリシーの実装
    • 2.3.7．データストアのバックアップの実行
    • 2.3.8．信頼されていないソフトウェアのコンテナ化
    • 2.3.9．最小機能の実装と構成ベンチマークの利用
    • 2.3.10．可能な時のデータの暗号化
  • 2.4．質問4：よい仕事をしたか？
    • 2.4.1．システムおよびデータアーキテクチャの文書化でよい仕事をしたか？
    • 2.4.2．脅威の特定および文書化でよい仕事をしたか？
    • 2.4.3．脅威の低減でよい仕事をしたか？
• 3．結論
• 参考文献
• 附属書A．略語と頭字語

　本連載第88回で触れたように、次世代シーケンサーを含むバイオ技術／バイオ製造領域は、2022年9月15日に発表された「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」（関連情報）の適用対象となるので、日本企業は特に注意が必要だ。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara