More Related Content
Similar to バイオエコノミー産業の サイバーセキュリティ最新動向 (20)
More from Eiji Sasahara, Ph.D., MBA 笹原英司 (20)
バイオエコノミー産業の サイバーセキュリティ最新動向
- 1. 第 7 回 CSA 関西・健康医療 WG 公開ワークショップ
「バイオエコノミー産業のサイバーセキュリティ最新動向」
日時:2022 年 7 月 27 日(水) 1800-19:00
主催:日本クラウドセキュリティアライアンス関西支部
後援:バイオコミュニティ関西(BiocK)
後援:神戸医療産業都市推進機構 細胞療法研究開発センター
オープニング:「バイオコミュニティ関西のご紹介」:18:00-18:05
講師:坂田 恒昭 氏
バイオコミュニティ関西(BiocK)関西 副委員⾧ 兼 統括コーディネーター
NPO法人近畿バイオインダストリー振興会議 理事⾧
講演:「海外事例から学ぶバイオ産業のサイバーセキュリティ」 18:05-18:40
講師:笹原 英司 氏
- 7. 5
1-1. バイオエコノミーとは?
• 欧州連合(EU)の定義:
• 「再生可能な生物資源の生産およびこれらの資源や廃棄物の流れの付加
価値製品への転換で、食品、飼料、生物由来製品、バイオエネルギーなどを
含む。そのセクターや産業には、地域の暗黙な知識とともに、幅広い科学や
実現可能な産業技術の用途があるので、強力な可能性のあるイノベーション
が存在する」
• 米国議会調査局(CRS)の定義:
• 「生物資源(例:植物、微生物)から派生した製品やサービス、プロセスに
基づく経済の共有」
• 全米科学・工学・医学アカデミー(NASEM)の定義:
• 「ライフサイエンスやバイオテクノロジーにおける研究やイノベーションにけん引
される経済活動で、工学や計算処理、情報科学における技術進化により可能
になる」
- 8. 6
1-2. バイオエコノミーR&Dにおける米国政府機関の役割(1)
• 米合衆国大統領行政府 「2021会計年度研究開発予算優先事項」
(2019年8月30日)
https://www.whitehouse.gov/wp-content/uploads/2019/08/FY-21-RD-Budget-Priorities.pdf
• 米国の保健とバイオエコノミーにおけるイノベーション:
遺伝子編集を使用して開発された製品に関し、微生物・植物・動物の安全性
と有効性を迅速に確立し、バイオテクノロジー製品の採用と社会的責任のある
使用を促進するべく、証拠に基づいた基準と研究を優先する必要がある。
さらに、バイオテクノロジー、オミクス、科学的コレクション、バイオセキュリティ、
データ分析によって、ヘルスケア、医薬品、製造業、農業など複数のセクターに
わたる経済成⾧を促進する研究開発に焦点を当てる必要がある。
• 米国立標準技術研究所(NIST)「バイオエコノミーにおけるNISTの役割」
(2019年10月9日) (https://www.nist.gov/bioscience/nists-role-bioeconomy)
• NISTは、新たなバイオ技術の成功製品への成熟を支援するために、評価科
学、妥当性のあるデータ、標準規格開発の先導的役割を提供する
- 9. 7
1-2. バイオエコノミーR&Dにおける米国政府機関の役割(2)
• NIST NCCoE「NISTにおけるヒトゲノミクス」(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-
data/post-workshop-materials)
• NISTのヒトゲノミクスにおける専門知識:技術規格の国際標準化
出典:NIST NCCoE「NCCoE Virtual Workshop on the Cybersecurity of Genomic Data」(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data/post-workshop-materials)
- 11. 9
1-2. バイオエコノミーR&Dにおける米国政府機関の役割(4)
• 合成生物学の応用:デジタルを駆使した自動化 ⇔ サイバーセキュリティ脅威
出典:NIST NCCoE「NCCoE Virtual Workshop on the Cybersecurity of Genomic Data」(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data/post-workshop-materials)
- 13. 11
1-3. バイオエコノミーとセキュリティ/プライバシー(1)
• NIST 国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)
「ゲノムデータサイバーセキュリティ」
(https://www.nccoe.nist.gov/projects/cybersecurity-genomic-data)
プロジェクト目的:
ゲノムデータのタイプに関する特質を
特定し、共通のセキュリティ課題を
認識して、ゲノムデータに関する
セキュリティおよびプライバシーの
ベストプラクティスについての
ガイダンスを提供する
出典:NIST NCCoE「Cybersecurity of Genomic Data」
(https://www.nccoe.nist.gov/projects/cybersecurity-genomic-data)
- 14. 12
1-3. バイオエコノミーとセキュリティ/プライバシー(2)
• バイオエコノミーにおけるセキュリティ/プライバシーの重要性
• データの完全性
• データの信頼性
• 個人の遺伝子情報への
アクセス制限の維持
• 知識/知的財産の保護
• データの再利用可能性/
損失の防止
• 不正利用や悪用の防止
• プライバシー/個人情報保護
プライバシー
個人情報保護
(例)HIPAA、GDPR
セキュリティ
(例)ISO 27001
FedRAMP
品質管理
(例) ISO 9001
GxP
CISOの視点
(Chief Information
Security Officer)
CPOの視点
(Chief Privacy Officer)
CQOの視点
(Chief Quality Officer)
出典:ヘルスケアクラウド研究会(2022年7月)
- 18. 16
2-2.次世代シーケンサーのセキュリティ脆弱性情報共有事例(1)
国土安全保障省(DHS)サイバーセキュリティ・インフラストラクチャセキュリティ庁
(CISA) 「ICS アドバイザリ(ICSA-22-153-02): イルミナLocal Run
Manager(LRM)」(2022年6月2日)
(https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02)
• 英国のセキュリティ企業の研究者が米国イルミナ製遺伝情報解析用次世代シーケンサーに使用
されたLocal Run Manager(LRM)ソフトウェア(バージョン 1.3~3.1)の脆弱性を確認
• 体外診断用医療機器製品(NextSeq 550Dx、MiSeq Dx)
• 研究使用限定製品(NextSeq 500、NextSeq 550、
MiSeq、iSeq 100、MiniSeq)
• 英国企業からの報告を受けたイルミナがCISAに報告
• CISAと同時に、米国食品医薬品局(FDA)も注意
喚起を発出
出典:Cybersecurity & Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local
Run Manager」(2022年6月2日)(https://www.cisa.gov/uscert/ics/advisories/icsa-22-153-02)
- 29. 27
2-4.バイオエコノミー向け クラウドサービス事例(4)
• AWSの責任共有モデル
出典:NIST NCCoE「NCCoE Virtual Workshop on the Cybersecurity of Genomic Data」(2022年1月26日)
(https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data/post-workshop-materials)
- 31. 29
2-4.バイオエコノミー向け クラウドサービス事例(6)
• (参考) OWASP DevSlop 「AWS顧客のセキュリティインシデントからの教訓」
(https://www.youtube.com/watch?v=JBUgAXvcObU)
出典:OWASP DevSlop「Learning from AWS Customer Security Incidents」(2022年5月14日)
(https://www.youtube.com/watch?v=JBUgAXvcObU)
- 35. 33
出典:NIST NCCoE「Virtual Workshop on Exploring Solutions for the Cybersecurity of Genomic Data」
(2022年5月18日)(https://www.nccoe.nist.gov/sites/default/files/2022-06/20220518-Genomics-Workshop-Deck.pdf)
MUDの
サポート
脅威シグナ
リングの
サポート
更新の
サポート
3-1.ハードウェアのセキュリティ/プライバシー課題と管理策(3)
・製造者利用法記述(MUD)を利用したネットワークベース攻撃の低減:
参照アーキテクチャ(例)
- 37. 35
3-1.ハードウェアのセキュリティ/プライバシー課題と管理策(5)
NIST NCCoE「SP 1800-15 小規模企業と家庭用IoT機器のセキュア化:
製造者利用法記述(MUD)を利用したネットワークベース攻撃の低減」
(2021年5月26日)(https://www.nist.gov/publications/securing-small-business-and-home-internet-things-iot-devices-mitigating-
network-based)
・製造者利用法記述(MUD)の
物理的アーキテクチャ(例)
• Build1: スイッチ、MUD管理、
FreeRADIUSサーバー、
仮想アプライアンス
• Build2: Yikes!ルーター
• Build3: Micronetsゲートウェイ、
無線アクセスポイント
• Build4: SDNコントローラー/
MUD管理、SDNゲートウェイ、
承認/未承認サーバー
出典:NIST NCCoE「SP 1800-15 Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating
Network-Based Attacks Using Manufacturer Usage Description (MUD)」(2021年5月26日)
(https://www.nist.gov/publications/securing-small-business-and-home-internet-things-iot-devices-mitigating-network-based)
- 39. 37
3-2. ソフトウェアのセキュリティ/プライバシー課題と管理策(2)
• ゲノムソフトウェアのプライバシー要求事項(例)
• 適用可能なプライバシー規制の遵守
• EU市民向けのGDPR
• 個人識別情報(PII)や保護対象保健情報(PHI)に関する連邦政府/
州政府/自治体の規制
• 医療保険の携行性と責任に関する法律(HIPAA)
• 遺伝子情報差別禁止法(GINA)
• 連邦取引委員会(FTC)法第5条
• カリフォルニア州遺伝情報プライバシー保護法(GIPA)など
• コンセント管理
• 監査証跡による提供者からの同意取得の継続的管理
• 家族に関するスキャンの管理(法執行措置)
• データプライバシーの自動スキャン
• データ主体アクセス要求(DSAR)向けサポート
- 40. 38
3-2. ソフトウェアのセキュリティ/プライバシー課題と管理策(3)
• ゲノムソフトウェアのデータ要求事項(例)
• 機密性、完全性、可用性(CIA)
• 転送および保存時のデータ暗号化
• データのライフスパンを通して正確性と一貫性を証明するエビデンス
• コード/データは、認証された人のみが時間制限内に利用可能である
• ガバナンス
• コード/データ上で適切な認可を設定する
• 何が保持されるべきか? どこで? どれくらいの間?
• 来歴
• プライバシーの懸念、コンセントとの関係、法令遵守を追跡・証明する能力
• メタデータ – 配列、シーケンサー、処理のステップのソース
• 品質
• ユースケース毎の品質をどのうように評価するか?
- 41. 39
3-2. ソフトウェアのセキュリティ/プライバシー課題と管理策(4)
• ゲノムソフトウェアののソフトウェア要求事項(例)
• 配列のサイズやオミックスのタイプによって制約されない
• 水平的・垂直的スケーリング – アプリケーション、メタデータ、処理など
• クローズドプラットフォーム 対 オープン連携
• ユーザーが、マルウェア、暗号通貨マイニング、サポート切れおよび脆弱な
ライブラリのサポート(log4j)
• 利用されたソフトウェアのライセンス管理(資産管理)
• オープンソースソフトウェア - 寛容、軽い拡散性、高い拡散性、GNU
アフェロGPL
• 商用ソフトウェア – 利用方法とバランスをとる必要がある条項
• 監査可能性
• すべてのオブジェクトで実行されたすべての行動を示す不変のログ
- 44. 42
4-1. CSA関西支部/健康医療情報管理WGの2022-2023年活動計画
2022年6月 ワークショップ 1. データ駆動型医療AIとクラウドセキュリティ
2022年7月 ワークショップ 2. バイオエコノミー産業のサイバーセキュリティ最新動向
2022年8月 ブログ 1. バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
2022年9月 ワークショップ 3. バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
2022年10月 ブログ 2. バイオ/医療のクラウド利用とサードパーティベンダーリスク管理
2022年11月 ワークショップ 4. バイオ/医療のクラウド利用とサードパーティベンダーリスク管理
2022年12月 ブログ 3. バイオエコノミー産業のデジタルツインとIoTセキュリティ
2023年1月 ブログ 4. バイオ/医療データの相互運用性とプライバシーエンジニアリング技術
2023年2月 ワークショップ 5. バイオ/医療データの相互運用性とプライバシーエンジニアリング技術
2023年3月 ブログ 5. バイオ/医療の品質保証とガバナンス/リスク/コンプライアンス管理
2023年4月 ワークショップ 6. バイオ/医療の品質保証とガバナンス/リスク/コンプライアンス管理
2023年5月 ブログ 6. バイオエコノミー産業のSDGsとクラウドネイティブ技術