第2次トランプ政権で米国の医療IoT／OTセキュリティ規制はどうなるのか：海外医療技術トレンド（114）（2/3 ページ）

米国会計検査院（GAO）は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT／OTセキュリティ規制の動向に注目が集まる。

[笹原英司，MONOist]

医療分野における包括的なIoT／OTリスク評価の実行が継続的課題に

　米国の医療・公衆衛生セクターを所管するHHSの状況について、GAOは、以下のように説明している。

• HHS 事前準備・対応担当次官補局（ASPR）（2022年7月より戦略的準備・対応管理局に改名）の重要インフラ保護部門が、医療・公衆衛生のセクターリスク管理行政機関（SRMA）としての役割を果たしている
• ASPRは、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、連邦捜査局（FBI）、食品医薬品局（FDA）と密接に連携して、IoT医療機器に関連する脅威情報を広めている
• FDA傘下の医療機器・放射線保健センター（CDRH）は、FDAの規制監督下で、以下の通り、IoT医療機器のサイバーセキュリティに関するガイダンスを作成している
  • FDA「医療機器安全性行動計画」（2018年4月16日、関連情報）
  • MITRE「医療機器脅威モデリングプレイブック」（2021年11月30日、関連情報）
  • FDA「医療機器サイバーセキュリティ管理に関する市販前ガイダンス」（最新版：2023年9月26日、関連情報）
  • FDA「医療機器におけるサイバーセキュリティの市販後管理」（最新版：2016年12月28日、関連情報）

　HHS傘下のASPRやFDAは、IoT医療機器に対するリスク管理活動を継続しているが、GAOは、HHSとしてIoTやOTに特化したセクター全体の包括的なリスク評価を実施していない点を課題として挙げた。その結果HHSは、拡大／進化する脅威に対処するために必要な追加的セキュリティ保護策が何かを把握していなかったと指摘している。

　このような課題を踏まえてGAOは、HHSに対し以下のような勧告を行っている。

• HHS長官は、医療・公衆衛生セクターのセクターリスク管理行政機関（SRMA）として、ASPRの補佐官に対し、セクターのIoTおよびOT環境のサイバーセキュリティを強化するための取り組みの効果を測定する指標など、セクター固有の計画を策定するよう指示すべきである
• HHS長官は、医療・公衆衛生セクターのSRMAとして、ASPRの補佐官に対し、セクターにおけるサイバー環境のリスク評価の一環として、IoTおよびOTデバイスを含めるよう指示すべきである

　HHS傘下のASPRは、GAOの勧告に対する改善策の一環として、2024年1月24日、「医療・公衆衛生セクター固有のサイバーセキュリティパフォーマンス目標（HPH CPGs）」（関連情報）を公表している。この文書は、医療組織が影響度の高いサイバーセキュリティプラクティスの実装を優先順位付けする際に役立つように、サイバー攻撃からの医療セクター保護、イベント発生時の対応改善、残存リスクの最小化のために設計されたものである。HPH CPGsは、表2に示す通り、「不可欠な目標（Essential Goals）」と「強化された目標（Enhanced Goals）」の2つのカテゴリーを設定した階層アプローチが特徴となっている。

表2　医療・公衆衛生セクター固有のサイバーセキュリティパフォーマンス目標（HPH CPGs）の階層アプローチ［クリックで拡大］ 出所：U.S. Department of Health and Human Services (HHS)「Healthcare and Public Health Sector-Specific Cybersecurity Performance Goals」（2024年1月24日）を基にヘルスケアクラウド研究会作成

　医療機器／デジタルヘルス関連企業は、「ベンダー／サプライヤーのサイバーセキュリティ要求事項」、「サードパーティーの脆弱性情報開示」など、サプライチェーンセキュリティに関わる目標が、医療・公衆衛生セクターにおけるHHSのサイバーセキュリティ政策の柱になっている点に注意する必要がある。これには、本連載第82回で取り上げたSBOM（ソフトウェア部品表）の有効活用策も関係してくる。GAO報告書は、エネルギーや運輸システムも取り上げているので、医療・公衆衛生以外のセクターにおける重要インフラのセキュリティ管理策との比較にも活用できる。

GAOが重要インフラを脅かすランサムウェアからの保護対策について勧告

　その後GAOは、2024年1月30日、「重要インフラストラクチャの保護：政府機関はランサムウェアのプラクティスの監視を強化し連邦政府の支援を評価する必要がある」（関連情報）と題する報告書を公表している。このランサムウェア報告書は、以下の3点を目的としている。

• （1）ランサムウェア攻撃が国家の重要インフラストラクチャに与える影響を説明する
• （2）主要な連邦実務の採用を監督するための連邦機関の取り組みを評価する
• （3）ランサムウェアリスクと関連サポートの有効性を評価する

　GAOのランサムウェア報告書では、米国の重要インフラ16セクターのうち、重要製造セクター（所管：国土安全保障省）、エネルギーセクター（所管：エネルギー省）、医療・公衆衛生セクター（所管：HHS）、運輸システムセクター（所管：国土安全保障省、運輸省）の4つを取り上げて調査、分析を行っている。

　図2は、医療・公衆衛生セクターにおけるランサムウェア攻撃の影響をまとめたものである。

図2　医療・公衆衛生セクターにおけるランサムウェア攻撃の影響［クリックで拡大］ 出所：U.S. Government Accountability Office (GAO)「Critical Infrastructure Protection: Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support」（2024年1月30日）を基にヘルスケアクラウド研究会作成

　ランサムウェア攻撃対策に関連して、GAOはHHSに対し以下のような勧告を行っている。

• HHS長官は、サイバーセキュリティ・インフラストラクチャセキュリティ局庁（CISA）およびセクターの関係者と連携して、医療・公衆衛生セクターがランサムウェアのリスクを軽減するために最新のサイバーセキュリティ対策をどの程度採用しているかを確認するべきである
• HHS長官は、CISAおよびセクターの関係者と連携して、医療・公衆衛生セクターへのランサムウェアリスクの軽減に対する連邦政府の支援の効果を測定するための定期的な評価手順を開発・実施するべきである

　HHSでは、このランサムウェア報告書公表直前の2024年1月18日、傘下の情報セキュリティ室と保健医療セクターサイバーセキュリティ調整センター（HC3）が、「ランサムウェアと医療」（関連情報、PDF）を公表して注意喚起するなど、医療・公衆衛生セクター向けのランサムウェア攻撃対策支援活動を継続的に行ってきた。

　これに対してGAOは、HHS組織の枠を越えた連携／調整機能を強化し、定期的な効果測定手法を確立するよう勧告している。この流れは、本連載第65回で取り上げた「クロスエージェンシー」（関連情報）の考え方と合い通じるところがある。現在、第2次トランプ政権移行チーム（関連情報）は、イーロン・マスク氏とビベック・ラマスワミ氏が主導する政府効率化省創設計画を発表するなど、非効率的な縦割行政組織の改革を標榜しており、今後のHHSの改善策が注目される。