米国の医療ロボットセキュリティを主導するオープンコミュニティーの広がり：海外医療技術トレンド（92）（2/4 ページ）

本連載第88回で「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」を取り上げたが、その典型的な対象製品の一つが、医療介護福祉分野で普及するロボットだ。

[笹原英司，MONOist]

MITRE ATT&CKをベースとする医療機器向け脅威モデリングの活用

　他方、MITREは、医療分野の脆弱性モデリングプロセスの標準化／自動化に向けた研究開発活動を積極的に行ってきた。例えば、2021年11月30日、MITREと医療機器イノベーションコンソーシアム（MDIC）が共同で「医療機器脅威モデリング向けプレイブック」（関連情報）と題する文書を公開した。同文書は、医療機器エコシステムを通して脅威モデリングに関する知識と理解を向上させるために、米国食品医薬品局（FDA）の資金助成を受けて、MITRE、MDIC、脅威モデリングの第一人者であるアダム・ショスタック氏が連携して実施してきた脅威モデリングブートキャンプの教訓に基づいて開発したプレイブックシリーズの一つである。

　このプレイブックの活用法としては、以下のような各ステークホルダーの活動を支援することが可能だとしている。

• 製品ラインマネージャーが、脅威モデリングを既存のプロセスに適合する方法を理解する
• システムエンジニアが、脅威モデリングを設計要求事項に周知する方法を理解する
• 設計エンジニアやアーキテクトが、脅威モデリングを設計上の選択に周知する方法を理解する
• 設計検証／妥当性確認（V＆V）エンジニアが、設計テスト戦略に脅威モデルを利用する方法を理解する
• 規制専門家が、脅威モデルを表現し、文書化する方法を理解する
• 脅威モデリングの経験がない可能性がある外部委託先製造業者やコンサルタントと契約する

　MITRE／MDICの「医療機器脅威モデリング向けプレイブック」は、以下のような構成になっている。

• 謝辞
• 1．イントロダクション
  • 1.1 プレイブックの開発
  • 1.2 プレイブックの利用
• 2．脅威モデリングの概要
  • 2.1 架空の事例1
  • 2.2 4つの質問
  • 2.3 質問1：われわれは何に関する作業を行っているのか？
  • 2.4 質問2：何が悪い結果をもたらし得るか
  • 2.5 質問3：われわれはそれに関して何をしているか？
  • 2.6 質問4：われわれはよい仕事をしたか？
• 3．脅威モデリング実装のための考慮事項
  • 3.1 脅威モデリングと製品安全リスク管理（品質システム）
  • 3.2 組織的な採用
  • 3.3 手法とツール
• 4．要約
• 附表A．追加的な架空の医療機器事例
• 附表B．追加的な架空の医療機器事例に関する考慮事項
• 附表C．書誌

　なお、図2に示す通り、MITRE ATT&CKフレームワーク（関連情報）については、「2.4 質問2：何が悪い結果をもたらし得るか」の中で取り上げている。

図2　医療機器向け脅威モデリングで採用されたMITRE ATT&CKフレームワーク［クリックで拡大］ 出所：MITRE CORPORATION/Medical Device Innovation Consortium (MDIC) 「Playbook for Threat Modeling Medical Devices」（2021年11月30日）

　CSAの「遠隔施術机上演習ガイドブック」も、MITRE ATT&CKフレームワークをベースとする脅威モデリングフレームワークを採用した内容になっている。