日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的:ソフトウェアサプライチェーンの守り方(2)(2/3 ページ)
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
ソフトウェアサプライチェーンセキュリティで先行する医療機器業界
米国では食品医薬品局(FDA)が米国内の規制を行っているが、実はFDA以外の組織が関連するガイドを出しているケースもある(図2)。
図2 MITREの「Medical Device Cybersecurity Regional Incident Preparedness and Response Playbook」[クリックで拡大] 出所:MITRE
例えば非営利組織のMITREは、「Medical Device Cybersecurity Regional Incident Preparedness and Response Playbook」を2022年11月14日に発行しているが、このガイドは2017年の「WannaCry」の被害があまりに大きかったこともあって、FDAの依頼で2018年に初版が発行された。HDO(医療提供組織)のサイバーセキュリティ対策、インシデント対応についてどのように備える必要があるのかについて以下の観点で説明している。
- Know your regional partners(地域のパートナーを知る)
代替機器や稼働中の機器を備えた施設への患者の転院、インシデント対応支援を含め、医療機器のサイバーセキュリティのための地域パートナーとの相互扶助協定の策定、あるいは、より広い意味でのインシデント対応の相互扶助協定を補う目的におけるパートナーを把握し、インシデントにより医療が継続できないことなどの影響を低減するための実践的な対処をHDOに求めている - Bake cybersecurity incident response into the procurement process(調達プロセスにサイバーセキュリティインシデント対応を組み込む)
調達プロセスに、施設と各当事者の役割と責任を定義する際に、HDOが実施するサイバーセキュリティ演習に製造業者も参加するという約束を得ることで、インシデント発生時に医療機器に必要な調整作業をよく理解することができるようになる。また、HDOは、医療機器の脆弱性を軽減するためのコストをあらかじめ機器の購入予算に組み込むことを検討することが必要とも - Know your devices(機器を知る)
設置運用する全ての医療機器に関する情報を一元管理し、常に必要な情報を更新しておくことで、インシデントへの対処や復旧を速やかに進められるようになる。(例:運用状況、設置場所、ネットワーク情報) - Incident response plan(インシデントレスポンス計画)
インシデントレスポンス計画のレビュー時における、計画に「医療機器をオンラインに戻すためのリスクベースの手順」と「ダウンタイムが数日、数週間、数カ月といった具合に延びた際の回避策や不測の事態が発生した際の対策」を含めることの検討は、サイバーインシデント以外の障害やインシデントからの復旧に必要なはずである
とはいえ、被害のあった機器やシステム、ネットワークを復旧することにかまけて医療サービスの提供が中断しないようにすることに重きを置くべきで、診療ができ、患者に影響のないようにすることが優先される。このことはplaybookの「第一章 Introduction」の最後で以下のように記載されている。
ultimately limit disruptions in continuity of clinical care as well as the potential for direct patient harm stemming from medical device cyber security incidents.(最終的に、診療が継続できないこと、同様に医療機器のサイバーセキュリティインシデントに起因する患者への直接的な被害の可能性を制限する。)
つまり、最初の項目にもある通り、他のHDOとの相互扶助のパートナーシップは非常に重要だということになる。
一方で、製造業者はSBOM(ソフトウェア部品表)を提供し、随時SBOMを更新することで、既知の、あるいは新たな脆弱性と対処方法についての情報を提供することが求められている。
例えば、運用する医療機器がWannaCryの感染によるサイバーセキュリティインシデントの被害にあうかどうかは、「Windows SMBのリモートでコードが実行される脆弱性」という既知の脆弱性が含まれるかどうかで分かるため(関連資料)、SBOMによって脆弱性が含まれないことを導入前に確認できれば、当該機器に起因するWannaCryの感染ではなく、もしあれば、他の既知の脆弱性に起因する他のインシデントの対策にリソースやコストをかけることが可能になる。
さて、医療機器のサイバーセキュリティに関する日本関連の話題についてだが、2020年5月13日、厚生労働省はIMDRFが2020年3月18日に発行した「Principles and Practices for Medical Device Cybersecurity」に関して、「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)」と題した国内への通知を行った(関連資料)。
さらに2021年12月24日、「医療機器のサイバーセキュリティの確保及び徹底に係る手引書について」との通知を発行し(関連資料)、令和5年(2023年)をめどに「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」(平成17年厚生労働省告示第122号)などの所要の改正を行い、許認可などにおいて医療機器のサイバーセキュリティ対応を確認することができる体制を構築する予定であるとしている。つまり、日本国内で流通する医療機器のサイバーセキュリティ対策に関して2023年からIMDRFのガイドに準じた規制が行われることになると考えられる。
ちなみに、IMDRFは医療機器規制の国際整合化組織として2011年に誕生し、日本は創設時からのメンバーとして参画しているが(関連資料)、国際協調や規格、標準、規制などの整合と調和、医療および医薬品など多岐にわたる国際的な枠組みの一つでしかない。また、IMDRFのページにアクセスすると分かるが、当ガイドの策定にあたって日本もMHLW(厚生労働省)とPMDA(独立行政法人医薬品医療機器総合機構)から4人ずつ参画していることが分かる。
冒頭で説明したFDAやEMA、あるいはIMDRFなどその他の組織や枠組みがあるものの、これらは国際的に共通のものとして機能するように摺り合わせが行われている。医療機器や自動車などは国際協調の考えに基づいて、それぞれの国や地域ごとの法令や規制、規格といったものを共通のルールとして組み込むようにすることで、同じ医療機器を異なる国や地域で販売し、運用することができるようにしている。
そして多くの場合、このような国際的な枠組みに基づいて、ソフトウェアサプライチェーンセキュリティを実現するための規制が行われる。ビジネスの観点からすれば「規制」に対処するために必要な手当を行うのは理にかなっている。そもそも「規制に適合」しなければビジネスに参入できないか、適合せずに市場参入したとしても、非適合であることが発覚すれば多額の罰金や裁判費用、顧客への補償などのコストが発生することになるからである。これはGDPRなどの新しい規制による目新しい話ではなく、連載第1回記事のホンダの排ガス規制適合の例で言うならば、2015年に発覚したドイツのフォルクスワーゲン(Volkswagen)の排気ガス計測不正のケースが分かりやすいだろう(関連記事:フォルクスワーゲンの排気ガス不正、車両と違法ソフトの両方で罰金を要求)。米国の大気浄化法への違反行為によって、合計210億1100万米ドル(約2兆7700億円)の罰金を求められることとなったのだ。
なお、規制によってソフトウェアサプライチェーンセキュリティの取り組みが先行しているのは自動車業界であり日本も含まれている。概要はMONOistの連載記事や、シノプシスのブログ※2)があるので参考にしていただければと思う。
※2)「路上走行車のサイバーセキュリティを規定したISO SAE 21434への対応準備はできていますか?」、「自動車のサプライチェーンにおけるサイバーセキュリティの保証レベル」
Copyright © ITmedia, Inc. All Rights Reserved.