医療機器サイバーセキュリティにおけるOWASPとCSAの連携
•
4 gefällt mir•746 views
1. 輸出戦略に赤信号が灯る日本の医療機器 2. 医療機器開発におけるOWASPとCSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie 医療機器サイバーセキュリティにおけるOWASPとCSAの連携
Ähnlich wie 医療機器サイバーセキュリティにおけるOWASPとCSAの連携 (20)
Mehr von Eiji Sasahara, Ph.D., MBA 笹原英司
Mehr von Eiji Sasahara, Ph.D., MBA 笹原英司 (16)
医療機器サイバーセキュリティにおけるOWASPとCSAの連携
- 1. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance February 5, 2020 米国OWASP Los Angeles Chapter & CSA HIM WG @esasahara
- 2. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 輸出戦略に赤信号が灯る 日本の医療機器 2. 医療機器開発におけるOWASPと CSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
- 3. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 国際医療機器規制当局フォーラム(IMDRF) 「DRAFT DOCUMENT: Principles and Practices for Medical Device Cybersecurity」 (2019年10月1日) (http://www.imdrf.org/consultations/cons-ppmdc.asp) • 米国食品医薬品局(FDA)とカナダ保健省を共同座長とする IMDRF医療機器サイバーセキュリティ作業部会が策定 • 医療機器リスクマネジメントに関する国際標準規格「ISO 14971」および医療機器の品質マネジメントシステムに関する 国際標準規格「ISO 13485」に準拠
- 4. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 一般原則 (1)トータル製品ライフサイクル(TPLC) セキュリティ・リスクマネジメント・プロセス • セキュリティリスク分析 • セキュリティリスク評価 • セキュリティリスクコントロール • 全体の残余セキュリティリスク受容可能性評価 • セキュリティリスクマネジメント報告 • 生産および生産後の情報 医療機器製造業者の対策 • あらゆるサイバーセキュリティ脆弱性の特定 • 関連するリスクの推定と評価 • これらのリスクを許容できるレベルまでのコントロール • リスクコントロールの有効性のモニタリング
- 5. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)共有された責任 主要なステークホルダー • 医療機器製造業者 • 医療機関 • ユーザー • 規制当局 • 脆弱性の発見者(ホワイトハッカー含む) 全てのステークホルダーが、医療機器のライフサイクル全体に わたって、潜在的なサイバーセキュリティリスクと脅威に関する 継続的なモニタリング、評価、低減、伝達の責任を有する
- 6. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)情報共有 全てのステークホルダーが積極的に情報共有分析組織 (ISAOs)へ参画するよう推奨 (4)特定、保護、検知、対応、復旧する能力 NISTサイバーセキュリティフレームワークとのマッピング (5)国際調和 イノベーションを促進し、安全性および有効性のある医療 機器への迅速な患者のアクセスを可能にする 患者安全の維持を保証するために、世界の医療サイバー セキュリティへの取り組みが集約される必要がある
- 7. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2. 医療機器製造業者向けの市販前考慮事項 (1)セキュリティ要求事項とアーキテクチャ設計 セキュアな通信 データの機密性 データの完全性 ユーザーアクセス ソフトウェアのメンテナンス ハードウェアまたは物理的設計 信頼性と可用性 (2)リスクマネジメント セキュリティリスク評価 脅威モデル 脆弱性スコアリング
- 8. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)セキュリティテスト 医療機器の設計フェーズのバリデーションの要求事項 ーソフトウェアコンポーネント/モジュールにおける既知の 脆弱性またはソフトウェアの弱点に関するターゲット 検索の実行(例:静的コード解析、動的解析、堅牢性 テスト、脆弱性スキャニング、ソフトウェア・コンポジション 分析 ー技術的セキュリティ分析の実行(例:ペネトレーション テスト) ー脆弱性評価の遂行(例:脆弱性影響度評価)
- 9. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)市販後管理戦略 市販後監視計画 脆弱性開示プロセス パッチ当て・アップデート計画 復旧計画(例:サイバーインシデント対応) 情報共有(例:ISAOsへの参画) (5)表示または利用者セキュリティ文書 製造業者による文書(例:機器のインストール・構成 文書、稼働環境の技術要件文書、ソフトウェア部品表 (SBOM))
- 10. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)規制提出要求事項 設計文書 ーサイバーセキュリティリスク・脅威を低減する設計機能 リスクマネジメント文書 ー包括的なリスクマネジメント文書(例:脅威モデリング、 特定可能なサイバーセキュリティ脅威) ー他のリスクに対するセキュリティリスク低減の影響度 ー製品ライフサイクル全体を通して、機器のサイバーセキュリティ・ リジエンシーを維持するための計画 セキュリティテスト文書 ーテスト手法、結果、結論の記述 ーセキュリティリスク、セキュリティコントロール、コントロールを検証 するテストの間のトレーサビリティ・マトリックス表 市販後管理計画 表示または利用者セキュリティ文書
- 11. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3. 医療機器サイバーセキュリティの市販後考慮事項 (1)意図する使用環境で作動する機器 医療機関・患者向け: a. 医療機関が採用すべきサイバーセキュリティのベストプラクティス b. 全ユーザー向けの訓練/教育 医療機器製造業者向け: ・医療機関、再販業者、消費者との連携 (2)情報共有 主要なステークホルダー a. 規制当局 b. 医療機関 c. ユーザー d. 政府機関や情報共有主体などその他のステークホルダー (ISAOs、CERTsを含む)
- 12. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)情報共有(続き) 情報のタイプ 信頼できるコミュニケーション (3)協調的な脆弱性の公開(CVD) マルチステークホルダー環境下のプロアクティブな情報共有を 可能にするCVDポリシーおよび手順の採用を推奨 医療機器製造業者(製品CERT含む) 規制当局(当局間のグローバル連携含む) 脆弱性の報告者(セキュリティ研究者およびその他の脆弱性 発見者=ホワイトハッカー含む)
- 13. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)脆弱性の救済策 医療機器製造業者向け: a. リスクマネジメント b. サードパーティ・コンポーネント(サプライチェーン含む) c. コミュニケーション d. 救済行動 医療機関・患者向け: a. パッチ当て b. 専門医療施設環境向けの考慮事項 c. 在宅医療環境向けの考慮事項 規制当局: ー市販後のパッチ当て
- 14. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インシデント対応 医療機器製造業者向け: a. 役割と責任(ISO/IEC 27035への準拠) b. コミュニケーションの期待事項 (CERTやISAOsとの連携含む) 医療機関向け: a. ポリシーと役割 (CERTやISAOsとの連携含む) b. 役割ごとの訓練 c. 分析と対応 規制当局向け: ー患者安全への影響度評価、他の政府機関との連携 など
- 15. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (6)レガシー医療機器 医療機器製造業者向け: ー機器が最低限のセキュリティ・ベースラインを満たす、 セキュアな開発フレームワークに基づく機器の設計・開発 ーレガシー機器の重大な脆弱性に関するモニタリングと、 製品ライフサイクル管理に基づく最善の努力 ー医療機器ライフサイクル管理や製品寿命に関するコミュ ニケーションの明確化 医療機関向け: ー医療機器製造業者との間のコミュニケーションの改善 ーソフトウェア部品表(BOM)の有効活用 ー医療機器ライフサイクル管理に基づく製品寿命の明確化 ー医療機関が使用する医療機器の保守・維持の保証 ー既存環境におけるリスク・コントロールの限界に関する理解
- 16. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance OWASP/Cloud Security Alliance 「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日) (https://www.owasp.org/images/9/95/OWASP_Secure_Medical_Devices_Deployment_St andard_7.18.18.pdf) • 目的:医療施設内における医療機器の セキュアな導入のための包括的な指針を 提供する • PROJECT LEAD: Christopher Frenz • CONTRIBUTORS: K S Abhiraj、Hillary Baron、Christian Dameff、Aaron Guzman、Siren Hofvander、Ashish Mehta、Brian Moussalli、Michael Roza、 Igor Amorim Silva、Srinivas Tatipamula 出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日)
- 17. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (1)調達時のコントロール • セキュリティ監査/評価 • プライバシー・インパクト評価 • サポート評価(例.セキュリティパッチ当て) (2)境界の防御 • ファイアウォール • ネットワーク侵入検知/予防システム(NIDS/NIPS) • プロキシサーバー/Webフィルター
- 18. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)ネットワークセキュリティのコントロール • ネットワークのセグメント化 • 内部ファイアウォール • 内部ネットワークのNIDS/NIPS • Syslogサーバー • ログのモニタリング • 脆弱性のスキャニング • DNSシンクホール
- 19. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)デバイスセキュリティのコントロール • デフォルト認証情報の変更 • アカウントのロックアウト • セキュアな転送の実現 • ファームウェア/ソフトウェアのスペア・コピー • デバイス構成のバックアップ • ベースライン構成 • 暗号化ストレージ • 異なるユーザーアカウント(例.特権ユーザー) • 管理インタフェースへのアクセス制限 • メカニズムの更新 • 法令遵守のモニタリング • 物理的セキュリティ
- 20. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インタフェースと中央ステーションのセキュリティ • OSのハードニング • 暗号化された転送 • メッセージセキュリティ – HL7 v3セキュリティ標準規格 (6)セキュリティテスト • ペネトレーションテスト (7)インシデント対応 • インシデント対応計画 • 模擬的なシンシデント
- 21. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance Cloud Security Alliance 「Cloud Security Alliance Health Information Management Working Group Co-Chair Dr. Jim Angle to Present at HIMSS」(2019年11月20日) (https://cloudsecurityalliance.org/press-releases/2019/11/20/cloud-security-alliance-health-information- management-working-group-co-chair-dr-jim-angle-to-present-at-himss/) • HIMSS Global Health Conference & Exhibition • 日時:2020年3月11日午後2:30~(現地時間) • 会場:米国フロリダ州オーランド • テーマ:“Managing the Risk for Medical Devices Connected to the Cloud”
- 22. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance 薬害エイズ事件の教訓を活かす