医療機器のセキュリティを守るために、インシデント訓練から何が見えたのか:IoTセキュリティ(2/2 ページ)
医療機器メーカーや医療機関、セキュリティベンダーなどが参加する医療機器サイバーセキュリティ協議会が、医療機器メーカー向けセキュリティインシデント訓練を実施。トレンドマイクロのインシデント対応ボードゲームをベースに医療機器メーカー向けにカスタマイズしたものを用いて、オンラインで行われた。
経営責任者や各部門の担当者など8つの役割からインシデント対応を検討
今回用意されたインシデント対応ボードゲームでは、参加者が医療機器メーカーの経営責任者や各部門の担当者の立場となり、自社の医療機器に発生したセキュリティインシデントに対して、チームで協力して事象分析や対応方針を検討する。セキュリティインシデントの疑似訓練だけでなく、参加者の組織における課題を考察し、改善に役立てることも狙いとなっている。
ボードゲームの参加人数は、インシデントに関する状況説明や進行管理を担当するファシリテーターを含めて9人。今回はグループ1と2に分かれ、合計18人がボードゲームに参加し、残りの参加者はオブザーバーとして各グループのインシデント対応の様子を見守る。ボードゲームによる演習は、3枚のカードを1枚ずつ公開する形で示されるインシデントに対する考察、影響度の評価、アクションプラン決定の手順で進み、最後に両グループから発表を行った。
なお、事前設定としては、国内大手医療機器メーカー、対象となる製品は管理医療機器(薬事品)、OSにWindowsを採用しているなどの情報がある。ファシリテーター以外のボードゲーム参加者は、医療機器メーカーの経営責任者、ITセキュリティ部門、広報部門、品質管理部門兼開発部門、製品サービス部門、営業担当、医療機関側の情報システム管理担当者+書記という8つの役割を担い、セキュリティインシデント対応を検討していくことになる。
今回のインシデントカードの内容は、1番目が「自社供給システムのOSで脆弱性公開」、2番目が「外部から自社供給システムで利用する他社製品の脆弱性について指摘された」、3番目が「病院ネットワークに不正アクセスが発生」だった。1番目のOSの脆弱性がWindowsのリモートデスクトップ機能であること、2番目の外部からの脆弱性指摘がJPCERT/CCから行われたこと、そして1番目と2番目への対応を進めている間に3番目の重大インシデントが起こるあたり、これまでにも起こっていたようなインシデントのシナリオ進行となっていた。
両グループの参加者は、インシデントの考察で20分、影響度の評価で10分、アクションプラン決定で15分という短い時間枠の中でそれぞれインシデントへの対応を検討した後、グループの代表者が最終的なグループ発表を行った。
今回の訓練の総評として、群馬大学医学部附属病院 准教授の鳥飼幸太氏は「OSのリモートデスクトップ機能の脆弱性というのは影響範囲が大きく、そのことを類推できるかがポイントになっただろう。インシデントを悪い側面だけから見ずに、そのことをきっかけに中長期で新しい取り組みをすべきという提案があったのはよかった。医療機器メーカーの立場からすると、インシデントによる自社の損失を第一に考えてしまうと思うが、医療機関の診療が止まって人命に直結することや、医療機関の資産である医療情報への考慮などもいい視点だったのではないかと思う」と説明する。
トレンドマイクロの松山氏は「今回のボードゲームは、組織や人による仕組みに焦点を当てたものになっている。今後は、医療機器メーカーにとって重要であろう、製品へのセキュリティの実装や運用といった仕組みとなるPSIRT(Product Security Incident Response Team)的なものも見られるように検討していきたい」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
オリンパスの新たなセキュリティ組織はなぜ“顧客中心”を掲げているのか
日立製作所が、2020年11月8〜6日に開催したオンラインイベント「Hitachi Social Innovation Forum 2020 TOKYO ONLINE」に、医療機器大手のオリンパスが登壇。同社 執行役員 CISO(最高情報セキュリティ責任者)の北村正仁氏が、2019年4月に発足した新たなセキュリティ組織の体制やPSIRT構築などについて説明した。
日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華
日立製作所が開催した「日立セキュリティソリューションセミナー」の基調講演に、同社 サービスプラットフォーム事業本部 セキュリティ事業統括本部 副統括本部長の宮尾健氏が登壇。2017年5月に発生したランサムウェア「WannaCry」による被害から得られた気付きと、それに基づいて開発した同社のIoTセキュリティサービスを紹介した。
加速するEU医療機器規則とIMDRFセキュリティ原則の国際調和
本連載第50回で、欧州の医療機器規制改革とサイバーセキュリティ動向を取り上げたが、新規則施行に向けた動きが本格化してきた。
米国NISTが定めるIoT機器製造者向けセキュリティ指針と医療機器の関係性
本連載第54回では、2020年1月1日に施行された「カリフォルニア州IoT機器セキュリティ法」を取り上げた。その後、新型コロナウイルス感染症への緊急対応に直面した米国だが、IoT機器の製造・販売プロセスに焦点を当てたサイバーセキュリティ指針の整備が進んでいる。
国際標準化が加速する医療機器サイバーセキュリティ、AI活用の前提条件に
本連載では、ソフトウェア・アズ・ア・メディカル・デバイス(SaMD)の国際協調に向けた取り組みを紹介しているが、サイバーセキュリティでも同様の動きが本格化している。この医療機器サイバーセキュリティは、医療分野におけるAI(人工知能)活用の前提条件になってきそうだ。
医療機器のサイバーセキュリティリスクを“診断”、テストサービス提供開始
テュフ ラインランド ジャパンは2021年4月15日、サイバー脅威に対する機器のリスクなどを評価する「医療機器のサイバーセキュリティ テストサービス」を医療機器メーカー向けに提供開始すると発表した。国内外で強まる医療機器のサイバーセキュリティリスクに対する法規制を念頭に、機器のリスクを洗い出すサービスを提供する。