米国で約1億人が利用する最大規模の医療施設チェーンで進むゼロトラストの実装:海外医療技術トレンド(97)(4/4 ページ)
米国最大規模の医療施設チェーンである米軍医療システム(MHS)では、DevSecOpsやゼロトラスト環境といったクラウドネイティブセキュリティの実装が急ピッチで進んでいる。
医療機器の規制当局がゼロトラスト実装を積極的に推進
ゼロトラスト化で先行する国防総省および傘下の医療施設に対して、本連載第86回で触れたように、医療機器規制を所管する米国食品医薬品局(FDA)でも、ゼロトラストモデル導入を積極的に推進している。例えば、2022年11月17日、FDAは「サイバーセキュリティ現代化行動計画(CMAP)」(関連情報)を公表している。図6は、FDAのゼロトラストを支える柱(Pillar)を示している。
図6 米国食品医薬品局(FDA)のゼロトラストを支える柱(Pillar)[クリックで拡大] 出所:U.S. Food & Drug Administration (FDA)「Cybersecurity Modernization Action Plan」(2022年11月17日)を基にヘルスケアクラウド研究会作成(2023年7月)
FDAの場合、ゼロトラストの柱を2つのレイヤーに分けて、中核的な「アイデンティティー」「デバイス」「ネットワーク環境」「アプリケーションワークロード」「データ」と、補助的な「可視化と分析」「自動化とオーケストレーション」「ガバナンス」に整理している点が特徴だ。
加えてFDAは、国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のゼロトラスト成熟度モデルで規定された基準に基づくFDAゼロトラストスコアカードを構築/利用して、プロセスや成熟度を評価するとしている。
このような背景を受けて、クラウドセキュリティアライアンス(CSA)では、2023年5月8日、「ゼロトラストアーキテクチャにおける医療機器」と題したレポートを公表している(関連情報)。なお、CSAと国防総省は、ゼロトラストのケイパビリティに関連して、ソフトウェア定義の境界(SDP:Software-Defined Perimeter)に関するフレームワークやベストプラクティスにおいて、早期段階から連携してきた歴史がある(関連情報)。
残念ながら今のところ、日本国内に、国防総省やFDAと同等レベルのセキュリティ要件を満たしたマルチクラウド/マルチベンダーのゼロトラスト環境で、医療機器/SaMD(Software as a Medical Device)のセーフティやセキュリティを評価/検証できる場がない。北米市場展開を狙う医療機器企業にとっては、ゼロトラスト環境上で検証できる場を創出することが急務である。
筆者プロフィール
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
- 米国の医療ロボットセキュリティを主導するオープンコミュニティーの広がり
本連載第88回で「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」を取り上げたが、その典型的な対象製品の一つが、医療介護福祉分野で普及するロボットだ。 - 米国連邦政府のゼロトラスト推進政策が医療機器に及ぼす影響
本連載第65回や第82回で、米国保健医療行政機関のDX(デジタルトランスフォーメーション)の取り組みを取り上げたが、連邦政府レベル全体で、ゼロトラストモデルの実装に対する関心が高まっている。 - 米国の医療クラウドサービスで高まるセキュリティ責任、国内事業者への影響は
米国では、クラウドを利用した新規サービスを事業化する医療機器メーカーが増えているが、同時にセキュリティ/プライバシー対策の要求事項も高度化/複雑化している。 - コロナ禍を経てグローバル化するデジタルヘルス先進国エストニア発のICT
本連載第30回よび第57回で、エストニアのデジタルヘルスやイノベーションの推進施策を取り上げた。今回は、Withコロナ期以降、グローバルに拡大するデジタルヘルス先進国エストニア発のICTの事業展開を取り上げる。 - 米国で急加速するゲノムデータのサイバーセキュリティ対策
本連載第84回および第88回で米国のバイオエコノミー研究開発推進施策を取り上げたが、その中からサイバーセキュリティ対策の進捗状況について取り上げる。