検索
連載

米国医療機関が迫られるAIサプライチェーンリスク管理とSBOMからAIBOMへの進化海外医療技術トレンド(132)(2/4 ページ)

本連載第127回で、米国メディケア・メディケイドサービスセンター(CMS)が推進するAI駆動型デジタルヘルスについて取り上げたが、AIを導入する医療機関側では、サプライチェーンリスク管理の取り組みが進んでいる。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

レガシー技術を抱える臨床現場の複雑なサプライチェーンリスク

 米国の医療機関では、レガシー技術/機器のサイバーセキュリティ対策が大きな課題である。これに対し、HSCCは「レガシー技術のセキュリティ管理(HIC-MaLTS)」(関連情報)を公開した。本ガイドは、医療現場のレガシー技術に起因するサイバーリスクの管理方法をまとめた包括的な指針集である。医療機器メーカーと医療提供者の「共同責任」として実施できるセキュリティ戦略を推奨し、将来の安全な機器設計への展望も提供している。

 臨床現場でリスクを抱える製品のうち、米国食品医薬品局(FDA)の規制対象となる医療機器は一部にすぎず、医療機関は規制対象外のシステムなども考慮する必要がある。経年劣化による脆弱(ぜいじゃく)性やサポート終了といった老朽化の課題は、医療機器以外の技術にも広がっている。そのため本ガイドでは「技術」と「機器」を使い分け、医療機器製造業者および医療機関の双方の組織それぞれに焦点を当てた推奨事項を提示している。

 本ガイドは、以下のような構成になっている。

  • I.まえがき - 技術(Technologies)と機器(Devices)の用語の使い分けについて
  • II.はじめに
  • III.保健医療セクター調整委員会(HSCC)について
  • IV.エグゼクティブサマリー
  • V.用語解説:定義と考察
  • VI.レガシー技術となる可能性のある対象の特定
    • A.医療提供組織(HDO)向けの特定方法
    • B.医療機器メーカー(MDM)向けの特定方法
  • VII.コアプラクティス
    • A.ガバナンス
    • B.コミュニケーション
    • C.サイバーセキュリティリスクマネジメント
    • D.フューチャープルーフィング
  • VIII.課題と推奨事項
    • A.コネクティビティ
    • B.製造終了/サポート保証終了/サポート終了(EOL/EOGS/EOS)
    • C.サードパーティー保守事業者
    • D.インベントリ/資産管理
    • E.ソフトウェア部品表(SBOM)
    • F.パッチ適用
    • G.サードパーティー製コンポーネントのリスク管理
  • IX.附表1 - 医療現場で使用されている技術・機器の具体例
  • X.謝辞

レガシー技術の運用管理におけるSBOM活用への臨床現場の期待

 このうち「VIII.課題と推奨事項」において、本ガイドが、レガシー技術/機器の課題解決策として挙げているのが、ソフトウェア構成部品表(SBOM)である。

 医療テクノロジーの老朽化によるセキュリティの陳腐化やサポート終了は、サイバーリスクを劇的に高める。複雑な医療エコシステムではサプライチェーンの可視性が不足しており、脆弱性のある部品の特定が困難なため、レガシー技術においてこの課題はさらに深刻化する。

 このリスクを軽減し、コンポーネント間の関係や系統を文書化して透明性を確保することで、脆弱性の追跡/管理を可能にすることがSBOMの目的である。しかし、レガシー技術へのSBOM適用には特有の課題がある。既存製品をリバースエンジニアリングでSBOM化することの難しさや、多くの構成部品自体がSBOMを提供していないため、その下位部品(サブコンポーネント)の中身が不透明にならざるを得ないという点を、製造業者やプロバイダーは抱えている。

 このような背景を踏まえ、医療機器製造業者に対して、以下のような推奨事項を提示している。

  • レガシー技術へのSBOM適用の基本原則:
    SBOMは重要なリスク管理ツールであり、製造業者などは自社のレガシー技術に対して可能な限り完全なSBOMを開発/維持すべきである。現在のレガシー技術に関しては、その機器がサポート終了(EOSなど)を迎えているか否かによって、製造業者に求められる対応や期待値が異なる
  • サポート終了前のレガシー技術への対応:
    製造業者などは、残りのサポート期間中もSBOMを開発/維持し、医療機関へ提供する必要がある。そして、実際にサポート終了を迎えた段階で顧客にステータス変更を通知し、以降は更新が行われないことを明記した「最終バージョン」のSBOMを提供するべきである
  • 既にサポート終了しているレガシー技術への対応:
    既にサポート終了している機器についても、製造業者などは可能な限り最新のSBOMを開発/維持し、医療機関へ提供すべきである。ただし、双方のリソースには限界があるため、密にコミュニケーションを取り合い、どの製品のSBOM作成を優先すべきか、組織間で優先順位付けを行う必要がある

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る