米国で約1億人が利用する最大規模の医療施設チェーンで進むゼロトラストの実装：海外医療技術トレンド（97）（4/4 ページ）

米国最大規模の医療施設チェーンである米軍医療システム（MHS）では、DevSecOpsやゼロトラスト環境といったクラウドネイティブセキュリティの実装が急ピッチで進んでいる。

[笹原英司，MONOist]

医療機器の規制当局がゼロトラスト実装を積極的に推進

　ゼロトラスト化で先行する国防総省および傘下の医療施設に対して、本連載第86回で触れたように、医療機器規制を所管する米国食品医薬品局（FDA）でも、ゼロトラストモデル導入を積極的に推進している。例えば、2022年11月17日、FDAは「サイバーセキュリティ現代化行動計画（CMAP）」（関連情報）を公表している。図6は、FDAのゼロトラストを支える柱（Pillar）を示している。

図6　米国食品医薬品局（FDA）のゼロトラストを支える柱（Pillar）［クリックで拡大］ 出所：U.S. Food & Drug Administration (FDA)「Cybersecurity Modernization Action Plan」（2022年11月17日）を基にヘルスケアクラウド研究会作成（2023年7月）

　FDAの場合、ゼロトラストの柱を2つのレイヤーに分けて、中核的な「アイデンティティー」「デバイス」「ネットワーク環境」「アプリケーションワークロード」「データ」と、補助的な「可視化と分析」「自動化とオーケストレーション」「ガバナンス」に整理している点が特徴だ。

　加えてFDAは、国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のゼロトラスト成熟度モデルで規定された基準に基づくFDAゼロトラストスコアカードを構築／利用して、プロセスや成熟度を評価するとしている。

　このような背景を受けて、クラウドセキュリティアライアンス（CSA）では、2023年5月8日、「ゼロトラストアーキテクチャにおける医療機器」と題したレポートを公表している（関連情報）。なお、CSAと国防総省は、ゼロトラストのケイパビリティに関連して、ソフトウェア定義の境界（SDP：Software-Defined Perimeter）に関するフレームワークやベストプラクティスにおいて、早期段階から連携してきた歴史がある（関連情報）。

　残念ながら今のところ、日本国内に、国防総省やFDAと同等レベルのセキュリティ要件を満たしたマルチクラウド／マルチベンダーのゼロトラスト環境で、医療機器／SaMD（Software as a Medical Device）のセーフティやセキュリティを評価／検証できる場がない。北米市場展開を狙う医療機器企業にとっては、ゼロトラスト環境上で検証できる場を創出することが急務である。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara