Weitere ähnliche Inhalte
Ähnlich wie 医療機器サイバーセキュリティにおけるOWASPとCSAの連携 (20)
Mehr von Eiji Sasahara, Ph.D., MBA 笹原英司 (16)
医療機器サイバーセキュリティにおけるOWASPとCSAの連携
- 3. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
国際医療機器規制当局フォーラム(IMDRF)
「DRAFT DOCUMENT: Principles and Practices
for Medical Device Cybersecurity」
(2019年10月1日)
(http://www.imdrf.org/consultations/cons-ppmdc.asp)
• 米国食品医薬品局(FDA)とカナダ保健省を共同座長とする
IMDRF医療機器サイバーセキュリティ作業部会が策定
• 医療機器リスクマネジメントに関する国際標準規格「ISO
14971」および医療機器の品質マネジメントシステムに関する
国際標準規格「ISO 13485」に準拠
- 4. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
1. 一般原則
(1)トータル製品ライフサイクル(TPLC)
セキュリティ・リスクマネジメント・プロセス
• セキュリティリスク分析
• セキュリティリスク評価
• セキュリティリスクコントロール
• 全体の残余セキュリティリスク受容可能性評価
• セキュリティリスクマネジメント報告
• 生産および生産後の情報
医療機器製造業者の対策
• あらゆるサイバーセキュリティ脆弱性の特定
• 関連するリスクの推定と評価
• これらのリスクを許容できるレベルまでのコントロール
• リスクコントロールの有効性のモニタリング
- 5. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(2)共有された責任
主要なステークホルダー
• 医療機器製造業者
• 医療機関
• ユーザー
• 規制当局
• 脆弱性の発見者(ホワイトハッカー含む)
全てのステークホルダーが、医療機器のライフサイクル全体に
わたって、潜在的なサイバーセキュリティリスクと脅威に関する
継続的なモニタリング、評価、低減、伝達の責任を有する
- 6. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(3)情報共有
全てのステークホルダーが積極的に情報共有分析組織
(ISAOs)へ参画するよう推奨
(4)特定、保護、検知、対応、復旧する能力
NISTサイバーセキュリティフレームワークとのマッピング
(5)国際調和
イノベーションを促進し、安全性および有効性のある医療
機器への迅速な患者のアクセスを可能にする
患者安全の維持を保証するために、世界の医療サイバー
セキュリティへの取り組みが集約される必要がある
- 7. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
2. 医療機器製造業者向けの市販前考慮事項
(1)セキュリティ要求事項とアーキテクチャ設計
セキュアな通信
データの機密性
データの完全性
ユーザーアクセス
ソフトウェアのメンテナンス
ハードウェアまたは物理的設計
信頼性と可用性
(2)リスクマネジメント
セキュリティリスク評価
脅威モデル
脆弱性スコアリング
- 8. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(3)セキュリティテスト
医療機器の設計フェーズのバリデーションの要求事項
ーソフトウェアコンポーネント/モジュールにおける既知の
脆弱性またはソフトウェアの弱点に関するターゲット
検索の実行(例:静的コード解析、動的解析、堅牢性
テスト、脆弱性スキャニング、ソフトウェア・コンポジション
分析
ー技術的セキュリティ分析の実行(例:ペネトレーション
テスト)
ー脆弱性評価の遂行(例:脆弱性影響度評価)
- 9. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(4)市販後管理戦略
市販後監視計画
脆弱性開示プロセス
パッチ当て・アップデート計画
復旧計画(例:サイバーインシデント対応)
情報共有(例:ISAOsへの参画)
(5)表示または利用者セキュリティ文書
製造業者による文書(例:機器のインストール・構成
文書、稼働環境の技術要件文書、ソフトウェア部品表
(SBOM))
- 10. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(5)規制提出要求事項
設計文書
ーサイバーセキュリティリスク・脅威を低減する設計機能
リスクマネジメント文書
ー包括的なリスクマネジメント文書(例:脅威モデリング、
特定可能なサイバーセキュリティ脅威)
ー他のリスクに対するセキュリティリスク低減の影響度
ー製品ライフサイクル全体を通して、機器のサイバーセキュリティ・
リジエンシーを維持するための計画
セキュリティテスト文書
ーテスト手法、結果、結論の記述
ーセキュリティリスク、セキュリティコントロール、コントロールを検証
するテストの間のトレーサビリティ・マトリックス表
市販後管理計画
表示または利用者セキュリティ文書
- 11. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
3. 医療機器サイバーセキュリティの市販後考慮事項
(1)意図する使用環境で作動する機器
医療機関・患者向け:
a. 医療機関が採用すべきサイバーセキュリティのベストプラクティス
b. 全ユーザー向けの訓練/教育
医療機器製造業者向け:
・医療機関、再販業者、消費者との連携
(2)情報共有
主要なステークホルダー
a. 規制当局
b. 医療機関
c. ユーザー
d. 政府機関や情報共有主体などその他のステークホルダー
(ISAOs、CERTsを含む)
- 12. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(2)情報共有(続き)
情報のタイプ
信頼できるコミュニケーション
(3)協調的な脆弱性の公開(CVD)
マルチステークホルダー環境下のプロアクティブな情報共有を
可能にするCVDポリシーおよび手順の採用を推奨
医療機器製造業者(製品CERT含む)
規制当局(当局間のグローバル連携含む)
脆弱性の報告者(セキュリティ研究者およびその他の脆弱性
発見者=ホワイトハッカー含む)
- 13. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(4)脆弱性の救済策
医療機器製造業者向け:
a. リスクマネジメント
b. サードパーティ・コンポーネント(サプライチェーン含む)
c. コミュニケーション
d. 救済行動
医療機関・患者向け:
a. パッチ当て
b. 専門医療施設環境向けの考慮事項
c. 在宅医療環境向けの考慮事項
規制当局:
ー市販後のパッチ当て
- 14. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(5)インシデント対応
医療機器製造業者向け:
a. 役割と責任(ISO/IEC 27035への準拠)
b. コミュニケーションの期待事項
(CERTやISAOsとの連携含む)
医療機関向け:
a. ポリシーと役割
(CERTやISAOsとの連携含む)
b. 役割ごとの訓練
c. 分析と対応
規制当局向け:
ー患者安全への影響度評価、他の政府機関との連携 など
- 15. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(6)レガシー医療機器
医療機器製造業者向け:
ー機器が最低限のセキュリティ・ベースラインを満たす、
セキュアな開発フレームワークに基づく機器の設計・開発
ーレガシー機器の重大な脆弱性に関するモニタリングと、
製品ライフサイクル管理に基づく最善の努力
ー医療機器ライフサイクル管理や製品寿命に関するコミュ
ニケーションの明確化
医療機関向け:
ー医療機器製造業者との間のコミュニケーションの改善
ーソフトウェア部品表(BOM)の有効活用
ー医療機器ライフサイクル管理に基づく製品寿命の明確化
ー医療機関が使用する医療機器の保守・維持の保証
ー既存環境におけるリスク・コントロールの限界に関する理解
- 16. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
OWASP/Cloud Security Alliance
「OWASP Secure Medical Device Deployment
Standard Version 2.0」(2018年8月7日)
(https://www.owasp.org/images/9/95/OWASP_Secure_Medical_Devices_Deployment_St
andard_7.18.18.pdf)
• 目的:医療施設内における医療機器の
セキュアな導入のための包括的な指針を
提供する
• PROJECT LEAD: Christopher Frenz
• CONTRIBUTORS: K S Abhiraj、Hillary
Baron、Christian Dameff、Aaron
Guzman、Siren Hofvander、Ashish
Mehta、Brian Moussalli、Michael Roza、
Igor Amorim Silva、Srinivas Tatipamula 出典:「OWASP Secure Medical
Device Deployment Standard
Version 2.0」(2018年8月7日)
- 17. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(1)調達時のコントロール
• セキュリティ監査/評価
• プライバシー・インパクト評価
• サポート評価(例.セキュリティパッチ当て)
(2)境界の防御
• ファイアウォール
• ネットワーク侵入検知/予防システム(NIDS/NIPS)
• プロキシサーバー/Webフィルター
- 18. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(3)ネットワークセキュリティのコントロール
• ネットワークのセグメント化
• 内部ファイアウォール
• 内部ネットワークのNIDS/NIPS
• Syslogサーバー
• ログのモニタリング
• 脆弱性のスキャニング
• DNSシンクホール
- 19. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(4)デバイスセキュリティのコントロール
• デフォルト認証情報の変更
• アカウントのロックアウト
• セキュアな転送の実現
• ファームウェア/ソフトウェアのスペア・コピー
• デバイス構成のバックアップ
• ベースライン構成
• 暗号化ストレージ
• 異なるユーザーアカウント(例.特権ユーザー)
• 管理インタフェースへのアクセス制限
• メカニズムの更新
• 法令遵守のモニタリング
• 物理的セキュリティ
- 20. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
(5)インタフェースと中央ステーションのセキュリティ
• OSのハードニング
• 暗号化された転送
• メッセージセキュリティ – HL7 v3セキュリティ標準規格
(6)セキュリティテスト
• ペネトレーションテスト
(7)インシデント対応
• インシデント対応計画
• 模擬的なシンシデント
- 21. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance
Cloud Security Alliance 「Cloud Security
Alliance Health Information Management
Working Group Co-Chair Dr. Jim Angle to
Present at HIMSS」(2019年11月20日)
(https://cloudsecurityalliance.org/press-releases/2019/11/20/cloud-security-alliance-health-information-
management-working-group-co-chair-dr-jim-angle-to-present-at-himss/)
• HIMSS Global Health Conference & Exhibition
• 日時:2020年3月11日午後2:30~(現地時間)
• 会場:米国フロリダ州オーランド
• テーマ:“Managing the Risk for Medical Devices
Connected to the Cloud”