検索
連載

米国の医療ロボットセキュリティを主導するオープンコミュニティーの広がり海外医療技術トレンド(92)(1/4 ページ)

本連載第88回で「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」を取り上げたが、その典型的な対象製品の一つが、医療介護福祉分野で普及するロボットだ。

Share
Tweet
LINE
Hatena

 本連載第88回で、「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」(関連情報)を取り上げたが、その典型的な対象製品の一つが、医療介護福祉分野で普及するロボットだ。

⇒連載「海外医療技術トレンド」バックナンバー

CSAがロボット支援手術向けサイバーセキュリティ演習ガイドブックを公開

 2023年1月30日、クラウドセキュリティアライアンス(CSA)のIoT(モノのインターネット)ワーキンググループ/健康医療情報管理ワーキンググループ/クラウドインシデント対応ワーキンググループは、「遠隔手術机上演習ガイドブック」(関連情報)を公開した。本ガイドは、医療提供施設が、ロボット支援手術(RAS)システムを標的とするセキュリティインシデントへの対応活動の手順に関する議論や評価を計画し、促進する際に役立てることを目的としており、CSA傘下の複数のワーキンググループや主要医療機関、MITRE、OWASPなどのサイバーセキュリティ専門家から成るグローバルなオープンサイエンスコミュニティーが策定したものである。筆者も、プロジェクト当初段階からコントリビューターとして参画してきたので、以下にその経緯を報告する。

 参考までに図1は、このコミュニティープロジェクトの活動ベースとなっているGitHub上の「IoT-Medical-Cloud」(関連情報)である。このコミュニティーでは、米国のみならず国境を越えて、医療機関や学術研究機関、セキュリティ企業などのホワイトハッカーに広く門戸を開放し、ボランティアベースの運営を行ってきた。ここで議論された攻撃フローが、実際にCSAのガイドブックで参照されている。

CSA IoTWG / MITRE Collaboration「IoT-Medical-Cloud」
図1 CSA IoTWG/MITRE Collaboration「IoT-Medical-Cloud」(GitHub)[クリックで拡大] 出所:CSA IoTWG / MITRE Collaboration on GitHub「Cloudsecurityalliance/IoT-Medical-Cloud」(2023年2月10日時点)

医療機器サイバーセキュリティにおけるCSAとOWASPの連携

 このプロジェクトに先立ち、CSAのIoTワーキンググループ/健康医療情報管理ワーキンググループは2018年8月7日、OWASPとの協働プロジェクトの成果物として、「OWASP セキュアな医療機器導入基準第2.0版」(関連情報)を公開していた。この文書は、医療機器を導入する医療機関向けに、医療施設内における医療機器のセキュアな導入のための包括的な指針を提供することを目的としており、表1のような概要になっている。

「OWASP セキュアな医療機器導入基準第2.0版」の概要
表1 「OWASP セキュアな医療機器導入基準第2.0版」の概要[クリックで拡大] 出所:Cloud Security Alliance (CSA)/OWASP「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日)を基にヘルスケアクラウド研究会作成

 その後CSAのIoTワーキンググループ/健康医療情報管理ワーキンググループは、2020年3月16日に「クラウドに接続された医療機器の管理」(関連情報)と題する文書を公開している。この文書は、以下のような構成になっている。

  • イントロダクション
  • 医療機器のセキュリティライフサイクル
  • 調達前
  • 調達後/展開前
    • ネットワーク
    • Webアプリケーションインタフェース
    • 無線通信
    • セキュアなコミュニケーションチャネル
  • 実装/運用管理
    • 分離段階0の機器
    • 分離段階1の機器
    • 分離段階2の機器
    • 分離段階3の機器
    • 分離段階4の機器
  • 廃棄
  • 提言と結論
  • 参考文献

 この文書では、表2に示す通り、医療機器と患者の近接性を表す隔たりの程度によって、クラウド接続する機器を分類し、そのサポート責任の所在を明確化している。

医療機器と患者の近接性を表す隔たりの程度による分類と責任の所在
表2 医療機器と患者の近接性を表す隔たりの程度による分類と責任の所在[クリックで拡大] 出所:Cloud Security Alliance (CSA) 「Managing the Risk for Medical Devices Connected to the Cloud」(2020年3月16日)を基にヘルスケアクラウド研究会作成

 機器サポート責任についてみると、ベンダーと並んで、生命維持装置の取り扱いに関わる「臨床工学(Clinical Engineering)」の役割がクローズアップされている点が特徴だ。医療機器のクラウド接続を前提としたサイバーインシデント対応計画やセキュリティ演習計画を策定する場合、電子制御技術(OT)と情報技術(IT)が連携する臨床現場の最前線に位置する医療専門職(例:臨床工学技士)のコミットメントが不可欠である。

       | 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る