NISTサイバーセキュリティフレームワーク1.1版と医療機器:海外医療技術トレンド(35)(2/3 ページ)
2018年4月16日、米国立標準技術研究所(NIST)が、サイバーセキュリティフレームワーク1.1版を正式にリリースした。医療機器/デジタルヘルス企業に、どんな影響が及ぶのだろうか。
サイバーセキュリティにおける製品と企業のギャップを埋めることが課題
次に図2は、組織内における情報と意思決定の共通フローを、経営トップ、ビジネス/プロセス、導入/オペレーションの3つのレベルから、俯瞰したものである。
図2 組織内における概念情報と決定フロー(クリックで拡大) 出典:National Institute of Standards and Technology「Framework for Improving Critical Infrastructure Cybersecurity Version 1.1」(2018年4月16日)
通常、医療機器製品やデジタルヘルス関連サービスのサイバーセキュリティ対策を担うのは、導入/オペレーションのレベルであるが、重要インフラストラクチャのリスク管理に関わるビジネス/プロセスのレベルや、組織全体のリスク管理を統括する経営トップのレベルとの間で、日常的に認識のすり合わせや情報共有を行い、ギャップを埋めておく必要がある。
本連載第10回で取り上げた、米国食品医薬品局(FDA)の医療機器サイバーセキュリティガイドラインは、どちらかといえば製品安全/セキュリティを念頭に置いているのに対し、NISTサイバーセキュリティフレームワークは、全社的なガバナンス体制まで包含したものになっている。
最近は、重要インフラの制御セキュリティを所管する国土安全保障省(DHS)傘下のICS-CERTが、GE(関連情報:ICSMA-18-037-02)、フィリップス(関連情報:ICSMA-18-086-01)、ベクトンディッキンソン(関連情報:ICSMA-18-114-01)など、大手医療機器メーカーの製品/サービスに関連するセキュリティ脆弱性情報を公表するケースが増えており、製品と企業が一体化した取り組みが求められる。
なお、サイバーセキュリティフレームワークに関わるトレーニング・人材育成策については、2017年8月にリリースされた「NIST SP 800-181: 全米サイバーセキュリティ教育イニシアチブ(NICE)サイバーセキュリティ・ワークフォース・フレームワーク」(関連情報)が参考になる。
Copyright © ITmedia, Inc. All Rights Reserved.