米国NISTのIoTセキュリティリスク管理指針と医療機器：海外医療技術トレンド（48）（2/3 ページ）

IoTデバイスのセキュリティリスク管理は医療機器業界の共通課題である。重要情報インフラに関わる医療機器ユーザーの技術標準化視点に立ったサイバーセキュリティのガイドライン整備を進めてきた米国のNIST（国立標準技術研究所）が2019年6月25日、IoTデバイスのセキュリティに関連する新たなガイドラインを公表した。

[笹原英司，MONOist]

従来のITでは対応困難なIoTの市販前と市販後リスク管理策

　次に、「3. サイバーセキュリティとプライバシーリスクの考慮事項」では、以下の3つの考慮事項を掲げている。

• 考慮事項1：デバイスと物理的世界との相互作用
  IoTデバイスの多くは、伝統的なITデバイスには通常ない方法で、物理的世界と相互作用する
• 考慮事項2：デバイスのアクセス、管理、モニタリング機能
  IoTデバイスの多くは、伝統的なITデバイスと同じ方法では、アクセス、管理、モニタリングできない
• 考慮事項3：サイバーセキュリティおよびプライバシー機能の可用性、効率性、有効性

　特に考慮事項3については、市販前・市販後対策の観点から、以下のような留意点を挙げている。

• IoTデバイスの多くは、特に伝統的なIoTデバイスに組み込まれたサイバーセキュリティとプライバシーの機能の範囲をサポートしていない／できない
• 個々のIoTデバイス上で、管理、モニタリング、維持する市販前の機能に必要な努力のレベルが過度になる可能性がある
• ネットワークベースの検知予防システム、マルウェア対策サーバ、ファイアウォールなど、伝統的なITのための市販後の機能は、IoTデバイスを保護するのに効果的でない可能性がある

　医療機器企業の場合、サイバーセキュリティ／プライバシーリスク管理ライフサイクルが、規制当局への新製品申請時と市販後安全対策時で分断されていたが、IoTの本格化により、管理体制の変革を求められている。

　さらに「4．IoTデバイスのためのサイバーセキュリティとプライバシーリスク低減に伴う課題」では、以下の3つの目標を掲げている。

• 目標1：デバイス・セキュリティ保護
  （領域）資産管理、脆弱性管理
• 目標2：データ・セキュリティ保護
  （領域）データ保護、データセキュリティ・インシデント検知
• 目標3：個人のプライバシー保護を達成する際の潜在的課題
  （領域）情報フロー管理、個人識別情報（PII）処理許諾管理、インフォームド・ディシジョン・メーキング、分離データ管理、プライバシー侵害検知

　そして、これらの目標および領域ごとに、影響を及ぼす「NIST SP 800-53」の管理策、組織にとっての意味、影響を及ぼすNISTサイバーセキュリティフレームワークのサブカテゴリーをマッピングしている。表1は、マッピング表の例である。

表1　IoTデバイスのサイバーセキュリティ／プライバシーリスク低減目標・領域と管理策のマッピング例（クリックで拡大） 出典：NIST「NISTIR 8228 Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks」（2019年6月25日）

　最後に、「5．IoTデバイスのためのサイバーセキュリティとプライバシーリスク低減の課題への取り組みに向けた提言」では、以下の3点を提言している。

1. IoTデバイスのリスクに関する考慮事項と低減に向けた課題の理解
2. IoTデバイスのライフサイクルを通して、サイバーセキュリティとプライバシーリスク低減課題に取り組むための組織的ポリシーと手順の調整
3. 組織のIoTデバイスのための最新リスク低減プラクティスの導入

　従って、IoTデバイスのサイバーセキュリティ／プライバシーリスク管理では、製品レベルの取り組みと組織レベルの取り組みのハーモナイゼーションが不可避となってくる。