医療機関を標的としたサイバー攻撃が世界中で相次ぐなか、医療機器のセキュリティ強化が急務となっています。2022年に米国FDAが発表した新ガイダンスでは、医療機器の製造・設計段階からサイバーセキュリティ対策を組み込むことが明確に求められました。本記事では、FDAの最新動向を踏まえ、医療機器メーカーが押さえておくべき規制要件と具体的な対策ポイントを分かりやすく解説します。
サイバー攻撃が命を脅かす時代に
2020年、ドイツの病院がランサムウェア攻撃を受け、一人の女性患者が搬送の遅れにより命を落とすという痛ましい事件が起こりました。
こうした攻撃は、医療機関のIT・OTシステムにとって深刻なリスクであり、特にマルウェア耐性の弱い医療機器が被害の入り口になることもあります。人命を預かる現場では、システムと機器の「止まらない・乱れない」稼働が求められます。マルウェアに対する耐性が不十分な医療機器が原因で発生するサイバーセキュリティインシデントは、世界中で頻発しています。
そのため、商品化される医療機器においては、サイバー脅威に対する耐性を高めることが急務となっています。医療システムや医療機器は、健康を守り、命を救うために常に正常に稼働していなければなりません。
【ウェビナー解説記事】医療機関のサイバー攻撃実例から考える医療情報システムのサイバーセキュリティ対策ポイント
本ウェビナーでは令和5年5月に策定された「医療情報システムの安全管理に関するガイドライン第6.0版」の改訂ポイントの解説と実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントについて解説します。
FDAが示すサイバーセキュリティ要件とは
2022年4月、米国食品医薬品局(FDA)は医療機器のサイバーセキュリティに関する新ガイダンスを公表しました。これは、機器の市販前承認(PMA)プロセスにおいて、セキュリティ対策が欠かせないことを明示するものです。製造業者は、機器が意図された用途において安全・有効であることを科学的根拠とともに証明しなければなりません。
セキュリティの評価は、21 CFR Part 820に基づく品質保証手順(QMS)の一環として行われ、特に以下のポイントが重視されます:
- 意図的な攻撃への耐性(例:侵入テスト)
- 境界分析や入力検証などによる脆弱性評価
- サードパーティ製ソフトウェアの管理と検証
- SBOM(ソフトウェア部品表)の整備と運用
- 修正プログラム(パッチ)の適用体制と対応速度
これには、サイバーセキュリティ侵害や同様のリスクを防御するのに十分な耐性があることを証明することも含まれています。メーカーは、医療機器の設計にサイバーセキュリティ対策を盛り込み、負荷がかかった状態でも正常に動作することを検証することになります。
FDA 医療機器ガイダンスにおけるサイバーセキュリティについて:考慮すべき事項とソリューション
米国 FDA 発行「医療機器のサイバーセキュリティ:品質システムの考慮事項と市販前申請の内容」は、医療機器メーカーが機器の市場参入前に潜在的な脆弱性に積極的に対処できるようにするためのガイダンスです。本ホワイトペーパーでは、市販前提出物にサイバーセキュリティ情報を含めるという FDA の推奨事項を分析。最も重要なサイバーセキュリティ設計と提出内容を指摘し、TXOneの観点からソリューションを提供するための洞察と戦略について解説します。
開発段階からセキュリティ設計を
全体的な目標は、信頼性が高くかつレジリエントな、セキュアで効果的な医療機器を製造することにあります。
具体的なセキュリティ目標は、
- 真正性
- 承認
- 可用性
- 機密性
です。
医療機器にはセキュアかつタイムリーなアップデートやパッチの提供体制が必要です。医療機器の設計時には、サイバーハイジーンを考慮しなければなりません。各電子データインターフェースは保護されていなければなりません。サイバーセキュリティの脆弱性は調査し、可能な限り悪用を防止するために「是正と予防措置(CAPA)」を講じる必要があります。
CAPAには、インシデント発生時に即応できるよう、セキュリティ対策とデータも含めておきます。これを促進するためには、すべての医療機器に対し、次のようなサイバーセキュリティテストの実施が強く推奨されています。
- 入力制御が悪意のある文字列を許可しないことを確認する。
- メモリオーバーフローによるクラッシュを防ぐために境界分析を実行する。
- 医療機器が悪意のあるネットワークトラフィックを受信した際の挙動をテストする。
- 既知の脆弱性を用いた攻撃にさらし、侵入テストを実施して潜在的なエクスプロイトを発見する。
- デフォルトパスワードを使用して機器を攻撃することがどれほど容易であるかを調査する。
商用ライブラリおよびオープンソースライブラリを含む、サードパーティ製ソフトウェアコンポーネントは検証しなければなりません。従来、メーカーは21 CFR 820.30(j)で求められる設計履歴ファイル(Design History File)や、21 CFR 820.181で求められる設計マスターレコード(Design Master Record)を使用して、メーカーの要件を満たすためにサプライヤが用いているプロセスやセキュリティ対策を記録してきました。
さらに、機械読み取り可能なソフトウェア部品表(SBOM:Software Bill of Material)も推奨されています。
また、SBOMの活用により、使用しているすべてのソフトウェア部品を明確化し、脆弱性への即応性を高めることが可能になります。
「SBOM」を活用したサプライチェーンの脆弱性リスク管理の必要性
サプライチェーンへの攻撃の防御手段になるであろうと最近広く注目を集めているセキュリティツールの1つ、#SBOM(Software Bill of Materials)をご存じですか?
まとめ:命を守る医療機器には「セキュリティ・バイ・デザイン」が不可欠
医療機器の安全性は、もはや機能や精度だけでは不十分です。サイバー攻撃から患者を守るためには、開発から運用、保守に至るまで、あらゆる段階でセキュリティを織り込む「セキュリティ・バイ・デザイン」が必要です。
FDAのガイダンスを正しく理解し、最新のサイバー脅威に対応する体制を築くことが、今後の医療機器メーカーに求められる責務です。
TXOneにまずお気軽にご相談ください。
医療機器業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
【ウェビナー解説記事】医療機関のサイバー攻撃実例から考える医療情報システムのサイバーセキュリティ対策ポイント
本ウェビナーでは令和5年5月に策定された「医療情報システムの安全管理に関するガイドライン第6.0版」の改訂ポイントの解説と実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントについて解説します。
