1. 大統領令第14028号を起点とする米国連邦政府のゼロトラスト導入とデジタルヘルスプラットフォームの変革 2. Cloud Security Alliance 「ゼロトラストアーキテクチャにおける医療機器」 3. 大統領令第14028号を起点とするサプライチェーンセキュリティ強化策とSBOM 4. 米国FDA「医療機器のサイバーセキュリティ：品質システムの考慮事項と承認申請手続の内容 - 業界および食品医薬品局スタッフ向けガイダンス」 5. Q&A／ディスカッション

1. Cloud Security Alliance
Health Information Management WG
Seattle, WA, USA
米国大統領令を起点とする
医療機器のゼロトラストとSBOM
(2023年11月14日)

2. 2
CSA関西支部／健康医療情報管理WGの2023-2024年活動計画
2023年6月 ブログ 1. ゲノムデータのサイバーセキュリティとアクセス制御
2023年7月 勉強会 1. ゲノムデータのサイバーセキュリティとアクセス制御
2023年8月 ブログ 2. ロボット支援手術(RAS)システムの脅威モデリング
2023年9月 勉強会 2. ロボット支援手術(RAS)システムの脅威モデリング
2023年10月 ブログ 3. ゼロトラストアーキテクチャにおける医療機器開発とSBOM
2023年11月 勉強会 3. ゼロトラストアーキテクチャにおける医療機器開発とSBOM
2023年12月 ブログ 4. 医療／ライフサイエンスにおけるデータ損失防止(DLP)
2024年1月 勉強会 4. 医療／ライフサイエンスにおけるデータ損失防止(DLP) (2024年1月23日予定)
2024年2月 ブログ 5. 医療／ライフサイエンスにおけるハードウェア対応型セキュリティ
2024年3月 勉強会 5. 医療／ライフサイエンスにおけるハードウェア対応型セキュリティ
2024年4月 ブログ 6. 医療／ライフサイエンスにおけるDevSecOps
2024年5月 勉強会 6. 医療／ライフサイエンスにおけるDevSecOps

3. 3
Zero Trust
Official CSA Definition
“Zero Trust is a cybersecurity strategy
premised on the idea that no user or asset is
to be implicitly trusted. It assumes that a
breach has already occurred or will occur,
and therefore, a user should not be granted
access to sensitive information by a single
verification done at the enterprise perimeter.
Instead, each user, device, application, and
transaction must be continually verified.”

4. 4
Background: CSA Zero Trust Research Workstreams
The revamped CSA ZT WG consists of nine NSTAC, CISA, and DoD-aligned
workstreams,
each with 2+ co-leads. Workstream Collaboration Links
ZT Research Workstreams Co-Leads
1. Zero Trust as a Philosophy & Guiding Principles
2. Zero Trust Organizational Strategy & Governance
Frank DePaola
Heverin (Joy) Williams
3. Pillar: Identity Shruti Kulkarni
Ryan Gifford (CSA IAM WG)
4. Pillar: Devices Jennifer Minella (JJ)
Josh Woodruff
5. Pillar: Networks/Environment Vinotth Ramalingam
Jerry Chapman
6. Pillar: Applications & Workloads Steve Guilford
Nick Taylor
7. Pillar: Data Shruti Kulkarni
Krishna Narayamaswamy
Alex Kaluza (CSA Data Security)
8. Automation, Orchestration, Visibility & Analytics Lars Ruddigkeit
Narendran Vaideeswaran
9. ZT Architecture, Implementation & Maturity Model Jason Garbis
Chris Steffen

5. AGENDA
1. 大統領令第14028号を起点とする米国連邦政府の
ゼロトラスト導入とデジタルヘルスプラットフォームの
変革
2. Cloud Security Alliance
「ゼロトラストアーキテクチャにおける医療機器」
3. 大統領令第14028号を起点とするサプライチェーン
セキュリティ強化策とSBOM
4. 米国FDA「医療機器のサイバーセキュリティ：品質シス
テムの考慮事項と承認申請手続の内容 - 業界および食品
医薬品局スタッフ向けガイダンス」

6. 6
1-1.米国大統領行政府「国家のサイバーセキュリティの
向上に
関する大統領令第14028号」(2021年5月12日)
(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-
the-nations-cybersecurity/)
[構成]
• セクション 1. 政策
• セクション 2. 脅威情報の共有に対する障壁の除去
• セクション 3. 連邦政府のサイバーセキュリティ強化
• セクション 4. ソフトウェアサプライチェーンセキュリティ強化
• セクション 5. サイバーセキュリティ審査委員会の設置
• セクション 6. 連邦政府のサイバーセキュリティ脆弱性・インシデント対応プレ
イブック標準化
• セクション 7. 連邦政府ネットワークのサイバーセキュリティ脆弱性・インシデ
ント検知の向上
• セクション 8. 連邦政府の調査・救済機能の向上

7. 7
セクション 3. 連邦政府のサイバーセキュリティ強化
• 連邦政府機関は、サイバーセキュリティに対するアプローチをモダナ
イズする
ために、決定力のあるステップをとるべきである
• 連邦政府機関が、サイバーインシデントを防止、検知、評価、救済す
ることを
可能にするアプローチを促進するために、クラウド技術の移行策にお
いて、実用的なゼロトラストアーキテクチャを採用する
・連邦政府機関は、セキュリティのベストプラクティスを採用すべき
である
-ゼロトラストアーキテクチャに向けて進化する
-SaaS、IaaS、PaaSなど、安全なクラウドサービスへの移行を加
速させる
-サイバーセキュリティリスクを特定し、管理するための分析をけ
ん引する
サイバーセキュリティへのアクセスを集中化、簡素化する
-これらのモダナイゼーションの目標にマッチするために、技術お
よび人材の
双方に投資する
-国土安全保障省／CISAは、一般調達庁(GSA)のFedRAMPを通じ
て、クラウドサービスプロバイダーを統治するセキュリティ原則を

8. 8
1-2. 米国保健福祉省(HHS)「医療におけるゼロトラス
ト
アーキテクチャ」(2020年10月1日)
(https://www.hhs.gov/sites/default/files/zero-trust.pdf)
• 従来型の境界防御からの脱却
ゼロトラストモデルの導入
• 米国の主要医療機関の間で本格化
• レガシー医療機器の取扱が大きな課題
• ゼロトラストセキュリティの技術領域
1. デバイス・セキュリティ
2. ネットワーク・セキュリティ
3. データ・セキュリティ
4. ワークロード・セキュリティ
5. アイデンティティ・アクセス管理
6. 可視化ツール
7. オーケストレーション・プラットフォーム

9. 9
1-3.米合衆国行政管理予算局(OMB)「M-22-09 米国
連邦政府のゼロトラスト原則への移行」(2022年1月26
日)
(https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf)
・連邦政府機関のスタッフはエンタープライズ管理型のアカウントを有して、
業務遂行に必要なものすべてにアクセスできるようにする一方、標的型や洗練
されたフィッシング攻撃から確実に保護されるよう維持する
・連邦政府機関のスタッフが業務遂行のために利用するデバイスは、一貫して
追跡・
モニタリングされ、これらのセキュリティポスチャは、内部リソースへのアク
セスを許可する際に、考慮される
・省庁システムは各々分離され、相互間および内部を行き来するネットワーク
トラフィックは確実に暗号化される
・エンタープライズアプリケーションは、内部的および外部的に検証され、イ
ンターネット
経由でスタッフがセキュアに利用できるようにすることができる
・連邦政府機関のセキュリティチームとデータチームが協働し、データカテゴ
リーおよび
セキュリティルールを開発して、機微情報に対する不正アクセスを自動的に検

10. 10
OMBのゼロトラストセキュリティ目標：2024会計年度末まで
に達成
出典：Office of Management and Budget (OMB)「Moving the U.S. Government Toward Zero Trust Cybersecurity Principles」（2022年1月26日）
（https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf) を基にヘルスケアクラウド研究会作成
領域 ゼロトラストセキュリティ目標
1.アイデンティ
ティ
連邦政府機関のスタッフは、作業で利用するアプリケーションにアクセスす
る際に、エンタープライズ管理型のアイデンティティを利用する
2.デバイス 連邦政府は、政府利用のために運用し、認可するすべてのデバイスについて
完全に在庫を把握し、これらのデバイスに関するインシデントの防止、検知、
対応ができる
3.ネットワーク 各省庁は、自らの環境内におけるすべてのDNSリクエストやHTTPトラ
フィックを暗号化し、分離した環境に境界をブレイクダウンする計画の導入
を開始する
4.アプリケー
ションとワーク
ロード
各省庁は、すべてのアプリケーションをインターネット接続されたものとし
て取り扱い、日常的に厳格な実証試験を受けて、外部からの脆弱性報告を歓
迎する
5.データ 各省庁は、完全なデータ分類を利用した保護策を展開するために、明確で共
有されたパスに向かう。各省庁は、機微データへのアクセスをモニタリング
するために、クラウドセキュリティサービスを有効活用して、組織全体のロ
ギングや情報共有を展開してきた

11. 11
1-4.米合衆国行政管理予算局(OMB)
「FedRAMP現代化の覚書草案」(2023年10月27日)
(https://www.whitehouse.gov/omb/briefing-room/2023/10/27/office-of-management-and-budget-releases-
draft-memorandum-for-modernizing-the-federal-risk-and-authorization-management-program-fedramp/)
[構成]
Ⅰ. 背景
Ⅱ. ビジョン
Ⅲ. FedRAMPのスコープ
Ⅳ. FedRAMPの認可プロセス
Ⅴ. 自動化と効率化
Ⅵ. 継続的モニタリング
Ⅶ. 役割と責任
Ⅷ. 産業界のエンゲージメント
Ⅸ. 実装
Ⅹ. 廃止
Ⅺ. ポリシーとプログラム実装の支援
例. FedRAMPセキュリ
ティ
評価自動化手法の確立
例. アジャイルデプロイメ
ント
ライフサイクルの維持
ゼロトラスト

12. AGENDA
1. 大統領令第14028号を起点とする米国連邦政府の
ゼロトラスト導入とデジタルヘルスプラットフォームの
変革
2. Cloud Security Alliance
「ゼロトラストアーキテクチャにおける医療機器」
3. 大統領令第14028号を起点とするサプライチェーン
セキュリティ強化策とSBOM
4. 米国FDA「医療機器のサイバーセキュリティ：品質シス
テムの考慮事項と承認申請手続の内容 - 業界および食品
医薬品局スタッフ向けガイダンス」

13. 13
2. Cloud Security Alliance
「ゼロトラストアーキテクチャにおける医療機器」
(2023年5月8日発行)
(https://cloudsecurityalliance.org/artifacts/medical-devices-in-a-zero-trust-architecture/)
• [構成]
・要約
・はじめに
・ゼロトラスト
・医療機器管理プログラム
・アイデンティティ
・デバイス
・ネットワーク
・アプリケーション
・データ
・結論
・参考文献
出典：Cloud Security Alliance(CSA) 「Medical
Devices in A Zero Trust Architecture」
(2023年5月8日)
(https://cloudsecurityalliance.org/artifacts/medi
cal-devices-in-a-zero-trust-architecture/)

14. 14
CSAのゼロトラスト成熟度モデルの基盤
出典：Cloud Security Alliance(CSA) 「Medical Devices in A Zero Trust Architecture」(2023年5月8日)
(https://cloudsecurityalliance.org/artifacts/medical-devices-in-a-zero-trust-architecture/)
アイデ
ンティ
ティ
デバイス ネットワー
ク／環境
アプリケー
ション／
ワークロー
ド
データ
可視性＆分析
自動化＆オートメーション
ガバナンス

15. 15
医療機器管理プログラムを取り巻く背景
①医療提供組織の大半は大量の医療機器をかかえているため、手作業
に
よる医療機器管理は労働集約的になる
②医療提供組織は、ネットワークのマイクロセグメンテーション、ポ
リシーの
強制、脆弱性の特定、エンドポイントの検知・対応を管理するための
ツールを
必要としている
③医療機器管理プログラムは、すべての機器の可視性や在庫(ロケー
ションを
含む)を提供するために、必要とされる
④プログラムは、有効な認可に係る意思決定向けの機器フィンガープ
リンティ
ングを含むべきである
⑤医療機器管理向けに利用可能な特別な製品があり、その中には、脆
弱性やリスクを特定できるものもある

16. 16
CSAゼロトラスト成熟度モデルからみた医療機器管理の
要点
Pillar 要点
アイデン
ティティ
・認証、アイデンティティストア、リスク評価は、アイデンティティ成熟度モデルの機能である
・医療提供組織は、適正なユーザーや機器が、適正な時間、適正なリソースへアクセスすることを保証しなけ
ればならない
・医療提供組織は、接続された機器を認証し、個々の機器が信頼されることを保証する必要がある
・医療機器の通信は、マシン・ツー・マシン(M2M)であり、認証および認可のために、マシンベースのプラク
ティスを必要とする
・医療提供組織は、環境下のすべての医療機器を発見し、分類し、棚卸しするために、信頼できる手法を必要
とする
デバイス ・接続された医療機器は、患者と医療提供組織を危険に晒すセキュリティ問題を提示する
・医療提供組織は、完全で正確な機器のディスカバリーとリスク評価、最小のアクセスポリシー、継続的モニ
タリングで、機器のセキュリティ課題を処理する
・個々の機器のセキュリティポスチャ、ネットワーク状態、ロケーション、機器の稼働率のプロファイリング
など、包括的な可視性が必要である
・拡張型検知・対応(XDR)は、医療提供組織全体に渡る脅威の可視性を改善し、セキュリティオペレーション
を加速して、
リスクを低減することを可能にする
・動的セグメンテーションにより、適正なセキュリティポリシーの構築を可能にし、マイクロセグメンテー
ションとの意味のある統合により、デプロイメント前のバリデーションを実現する
ネットワー
ク
・医療提供組織は、暗黙の信頼の代わりに、ネットワークのセグメンテーションと保護をアプリケーション
ワークフローと連携
させる必要がある
・IEEE 802.1X標準規格は、ポートベースのアクセス制御と、固定系・無線系ネットワークのために利用され

17. 17
(続き)
Pillar 要点
アプリ
ケー
ション
・アクセスの認可、脅威の保護、アクセシビリティ、アプリケーションセキュリティの機能を担う
・医療提供組織は、適切なセキュリティのために、保護をアプリケーションワークフローと密に統合する必要があ
る
・必要な保護: アクセス前の認証、最小の特権アクセスモデル、マイクロセグメンテーション、継続的な検証／監
視、データ暗号化
・マイクロセグメンテーションは、付与された者だけがデータ閲覧のためにアクセス可能にするとともに、不正な
横方向の移動を防止することによってリスクを低減する
・医療機器管理プログラムとXDRによる継続的なモニタリングが、異常を検知し、対応するために要求される
・転送時および保存時のデータ暗号化は、アプリケーションセキュリティに不可欠である
データ ・在庫管理、アクセス決定、暗号化の機能を担う
・医療提供組織は、すべてのデータ資産のセキュリティ、特定、分類、棚卸しに対して、データ中心のアプローチ
をとるべきである
・医療機器は、転送時、保存時の双方で保護しなければならないような大容量の電子保護対象保健情報(ePHI)を生
成する
・ゼロトラスト環境では、機微なデータを特定して、すべてのデータフローがマッピングされ、すべてのストレー
ジが特定されるようにしなければならない
・ゼロトラストアーキテクチャ内で異常検知と機械学習を利用した予測分析により、すべてのアクセスの試みをロ
グ付けし、異常行動または疑いのある活動のための試みを分析する
・医療提供組織は、機器制御、コンテンツ認識型制御、強制された暗号化、データディスカバリーを提供するデー
タ損失保護(DLP)ソリューションを実装すべきである

18. 18
結論
・医療機器管理プログラムは、ポリシーデシジョンポイント(PDP)として機能す
る機器を特定しアクセスを制御するために利用することが可能である。
・マイクロセグメンテーションは、データフローの完全な制御を実現し、疑いの
ある行動の
横方向の移動を防止する。
・エンドポイント保護と拡張型検知・対応(XDR)は、早期の検知・対応を強化し、
データ
損失保護(DLP)は、データ損失のリスクを低減する。これらのセキュリティツー
ルと既存の
セキュリティ対策の組合せにより、セキュアなゼロトラスト環境を構築する。
・ゼロトラスト環境では、すべての機器が特定され、アクセスが制限・制御され
て、すべてのデータが暗号化され、そのロケーションも既知となる。
・アクセス制御、分離、継続的モニタリングは、脆弱性を特定し、制御の低減策
を実装するのに役立つ。
・医療提供組織は、機器制御、コンテンツ認識型制御、強制された暗号化、デー
タディスカバリーを提供するデータ損失保護(DLP)ソリューションを実装すべき
である。

19. AGENDA
1. 大統領令第14028号を起点とする米国連邦政府の
ゼロトラスト導入とデジタルヘルスプラットフォームの
変革
2. Cloud Security Alliance
「ゼロトラストアーキテクチャにおける医療機器」
3. 大統領令第14028号を起点とするサプライチェーン
セキュリティ強化策とSBOM
4. 米国FDA「医療機器のサイバーセキュリティ：品質シス
テムの考慮事項と承認申請手続の内容 - 業界および食品
医薬品局スタッフ向けガイダンス」

20. 20
[前掲]米国大統領行政府「国家のサイバーセキュリティ
の向上に関する大統領令第14028号」(2021年5月12
日)
(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-
nations-cybersecurity/)
セクション 4. ソフトウェアサプライチェーンセキュリティ強
化
• 連邦政府機関は、重要ソフトウェアの取組を優先して、ソフトウェア
サプライチェーンのセキュリティと完全性を直ちに向上させるための
アクションをとるべきである
-重要ソフトウェア＝信頼性にとって重要な機能を実行するソフト
ウェア
-商務省／国立標準技術研究所(NIST)に対して、具体的な対策を指示

21. 21
3-1.NIST 「SP 800-218 セキュアソフトウェア開発フ
レームワーク第1.1版」（2022年2月3日)
(https://csrc.nist.gov/publications/detail/sp/800-218/final)
• セキュアなソフトウェア開発プラクティス
1. 組織を準備する（PO）：組織は、人々やプロセス、技術が、組織レベルで、
セキュアなソフトウェア開発を遂行するよう準備されていることを保証す
べきである
2. ソフトウェアを保護する（PS）：組織は、ソフトウェアのコンポーネント
すべてを
なりすましや不正アクセスから保護すべきである
3. 安全なソフトウェアを生産する（PW）：組織は、リリース時に、最小限
の
セキュリティ脆弱性を有する安全なソフトウェアを生産すべきである
4. 脆弱性に対応する（RV）：組織は、ソフトウェアのリリース時に残存する
脆弱性を特定し、これらの脆弱性に取組むために、適切な対応をして、同
様のことが将来起きないようにする

22. 22
3-2.NIST「SP 800-161：連邦政府システムおよび組
織のためのサプライチェーンリスクマネジメント・プラ
クティス改定
第1版」(2022年5月5日)
(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf)
 国家のサイバーセキュリティの向上に関する大統領令第14028号を受けて、改
定第1版を策定・公表
 目的：組織の全レベルで、サプライチェーンを通して、サイバーセキュリティ
リスクを識別し、評価し、低減する際の組織向けガイダンスを提供する
 サイバーセキュリティ・サプライチェーンリスクマネジメント(C-SCRM)で挙
げたプラクティスやコントロールは、情報技術(IT)および制御技術(OT)双方の
環境に適用される
 クラウドサービスプロバイダーは、まずFedRAMPを利用し、その上で、
FedRAMPがカバーしていない部分について本文書を適用すべきである

23. 23
[構成]
1.イントロダクション
2.C-SCRMのエンタープライズ全体のリスクマネジメントへの統合
3.重要な成功要因
参考文献
附表A C-SCRMのセキュリティコントロール
附表B C-SCRMコントロールの概要
附表C リスク暴露フレームワーク
附表D C-SCRMテンプレート
附表E 連邦調達サプライチェーンセキュリティ法(FASCSA)
附表F 大統領令第14028号のソフトウェアサプライチェーンセキュリティ強化の
ための
ガイドライン発行要求に対する対応
附表G リスクマネジメントプロセスにおけるC-SCRM活動
附表H 用語集
附表I 略語集

24. 24
3-3.NIST「ソフトウェアサプライチェーンセキュリテ
ィ強化に
向けた標準化・ガイドラインに関するワークショップと
ポジション
ペーパー募集」(2022年5月13日)
(https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/workshop-and-call-position-papers)
 国家のサイバーセキュリティの向上に関する大統領令第14028号のセクショ
ン4では、NISTを通して商務省に対し、連邦政府機関、民間セクター、アカデ
ミアおよびその他のステークホルダーと協議して、ソフトウェアサプライチェ
ーンセキュリティ強化のための標準規格、ツール、ベストプラクティスおよび
その他のガイドラインを識別するよう指示している
 NISTワークショップの目的：
• 大統領令で求められた、ソフトウェア関連の標準規格やガイドラインを構
築するためのNISTの計画を共有する
• これらの標準規格やガイドラインを構築する際にNISTが考慮すべき手法や
コンテンツに関する情報やアイデアを受け取り、議論する
 NISTワークショップに合わせてポジションペーパーを一般公募

25. 25
3-4.米国食品医薬品局(FDA)「FDA CDRHと医療機器
サイバーセキュリティ:連邦政府のサイバーセキュリテ
ィの向上に関する大統領令[第14028号]に関するNIST
への対応」
(2022年5月26日)(https://www.fda.gov/media/149954/download)
・NISTからの質問項目への回答：
1. “重要ソフトウェア”を指定する基準
2. 連邦政府調達向けの標準規格とガイドライン
*FDAは、国際医療機器規制当局フォーラム(IMDRF)や共同セキュリティ計画
(JSP)とともに、ソフトウェア部品表(SBOM)の調整に取組む
3. 連邦政府の重要ソフトウェア使用に適用されるべきセキュリティ対策の概要を
示した
ガイドライン
4. ソフトウェアのソースコード検証向けの初期における最小限の要求事項
5. ソフトウェアのインテグリティチェーン・来歴向けガイドライン

26. AGENDA
1. 大統領令第14028号を起点とする米国連邦政府の
ゼロトラスト導入とデジタルヘルスプラットフォームの
変革
2. Cloud Security Alliance
「ゼロトラストアーキテクチャにおける医療機器」
3. 大統領令第14028号を起点とするサプライチェーン
セキュリティ強化策とSBOM
4. 米国FDA「医療機器のサイバーセキュリティ：品質シス
テムの考慮事項と承認申請手続の内容 - 業界および食品
医薬品局スタッフ向けガイダンス」

27. 27
4. 米国食品医薬品局(FDA) 「医療機器のサイバーセ
キュリティ：品質システムの考慮事項と承認申請手続
の内容 - 業界および食品医薬品局スタッフ向けガイダ
ンス」
(2023年9月28日発行)
(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-
considerations-and-content-premarket-submissions)
• [構成](1)
Ⅰ. イントロダクション
Ⅱ. スコープ
Ⅲ. 背景
Ⅳ. 一般原則
A. サイバーセキュリティは機器の安全性
および品質システム規制の一部である
B. セキュリティ向けの設計
C. 透明性
Ⅴ. SPDF(セキュア製品開発フレームワー
ク)を利用したサイバーセキュリティリス
クマネジメント
A. セキュリティリスクマネジメント
1. 脅威モデリング
2. サイバーセキュリティリスク評価
3. 相互運用性の考慮事項
4. サードパーティ製ソフトウェアコンポーネン
ト
5. 未解決の異常のセキュリティ評価
6. TPLCセキュリティリスク管理
B. セキュリティ・アーキテクチャ
1. セキュリティ制御の実装

28. 28
• [構成](2)
VI．サイバーセキュリティの透明性
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項
B. サイバーセキュリティ管理計画
附表1. セキュリティ制御の分類および関連する推奨事項
附表2. セキュリティアーキテクチャ・フロー向けの申請の文書化
附表3. 臨床試験使用機器免除（IDE）向けの申請の文書化
附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング
附表5. 用語

29. 29
• ソフトウェア部品表(SBOM)の活用(1)
Ⅴ. SPDF(セキュア製品開発フレームワーク)を利用したサイバーセキュリティリス
クマネジメント
A. セキュリティリスクマネジメント
セキュリティリスクマネジメント報告書を市販前申請に含めるべきであ
る
・セキュリティリスクマネジメント報告書に含めるべき文書化要素:
-システム脅威モデリング
-サイバーセキュリティリスク評価
-コンポーネントのサポート情報
-脆弱性評価
-未解決の異常評価
・セキュリティリスクマネジメント報告書の留意事項:
-リスク評価手法およびプロセスを要約する
-セキュリティリスク評価からの残存リスクの結論を詳述する
-製造業者のリスクマネジメントプロセスの一部としてとったリスク低減活動
を詳述する
-脅威モデル、サイバーセキュリティリスク評価、SBOM、テスト文書の間の
トレーサ
ビリティを提供する

30. 30
• ソフトウェア部品表(SBOM)の活用(2)
A. セキュリティリスクマネジメント
4. サードパーティ製ソフトウェアコンポーネント
(a)ソフトウェア部品表(SBOM)
・SBOMは、ソフトウェアスタックを通して存在するサイバーセキュリティ管理で支援すること
ができる。堅牢なSBOMには、製造業者が開発したコンポーネントとサードパーティ製コンポー
ネント(例.購入した／ライセンスされたソフトウェアおよびオープンソースソフトウェア)がある。
・SBOMは、ソフトウェアコンポーネントの脆弱性による影響を受ける可能性がある稼働中の機
器やシステムを特定するメカニズムを提供することによって、リスク管理プロセスを容易化する
のに役立つ。
・脆弱性管理は、機器のセキュリティリスクマネジメントプロセスの重要な一部なので、SBOM
または同等の
機能は、機器の構成管理の一部として維持されるべきであり、上市された機器におけるソフト
ウェアの変更を反映して定期的にアップデートされ、文書化されるべきである（例. 21 CFR
820.30(j) (設計履歴ファイル)や820.181 (機器マスター記録)で詳述したタイプ）。
・FDAがサイバーセキュリティに関連する安全性および有効性について、機器のリスクおよび関
連するインパクトを評価する際に役立てるために、FDAは、市販前申請にSBOM文書化を含める
よう推奨する。サイバー機器の場合、SBOMが要求される(連邦食品・医薬品・化粧品法第
524B(b)(3)条参照)。またSBOMは、ラベリング制度の一部として潜在的リスクのあるユーザー
に対する透明性のための重要なツールとなり得る。

31. 31
• ソフトウェア部品表(SBOM)の活用(3)
(b)ソフトウェア部品表をサポートする文書化(1)
・FDAの「医療機器における汎用(OTS)ソフトウェア使用」(2023年8月)や、「汎用(OTS)ソフ
トウェアを含むネットワーク医療機器向けサイバーセキュリティ」(2005年1月)のガイダンス文
書では、製造業者がソフトウェアライフサイクルの完全な制御を主張できないソフトウェアコン
ポーネント向けの市販前申請において提供されるべき情報について説明している。
・製造業者は、これらのガイダンスの推奨情報に加えて、国家電気通信情報局(NTIA) の「ソフ
トウェアコンポーネントの透明性の枠組: 共通ソフトウェア部品表(SBOM)の確立」(2021年10
月)で特定された最小要素(ベースライン属性)と一貫性のある機械判読可能なSBOMを提供すべき
である。
・製造業者は、NTIAの最小要素に加えて、SBOMに含まれる個々のソフトウェアコンポーネント
について、以下の情報を市販前申請に含めるべきである。
-ソフトウェアコンポーネント製造業者からのモニタリングやメンテナンスを通じて提供され
るソフトウェアの
サポートレベル
-ソフトウェアコンポーネントのサポート終了日
・製造業者がSBOM情報をFDAに提供できない場合、製造業者は、その情報を市販前申請に含め
ることができない理由の根拠を提供すべきである。

32. 32
• ソフトウェア部品表(SBOM)の活用(4)
(b)ソフトウェア部品表をサポートする文書化(2)
・市販前申請の一部として、製造業者は、機器およびソフトウェアコンポーネントに関連するす
べての既知の
脆弱性(例.CISAの既知の悪用された脆弱性(KEV)カタログで特定された脆弱性)を特定すべきで
ある。
製造業者は、個々の既知の脆弱性について、評価手法が十分堅牢であったかどうかを示すために、
脆弱性が発見された方法を記述すべきである。
・製造業者は、既知の脆弱性があるコンポーネントに関して、市販前申請時に以下のような情報
を提供しなければならない
-個々の既知の脆弱性に関する安全性およびセキュリティリスク評価(機器およびシステムの
インパクトを
含む)
-脆弱性を処理するために適用可能な安全性およびセキュリティリスクのコントロール。リス
クコントロールが補完的コントロールを含む場合、適切なレベルの詳細まで記述すべきであ
る。

33. 33
• ソフトウェア部品表(SBOM)の活用(5)
VI．サイバーセキュリティの透明性
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項(1)
・意図する使用環境にとって適切な推奨されたサイバーセキュリティの制御に関連した機器の指
示および製品仕様(例. マルウェア対策ソフトウェア、ファイアウォールの使用、パスワードの要
求事項)。
・ユーザーによる推奨されたサイバーセキュリティ制御の実装を可能にするのに十分な詳細なダ
イアグラム。
・データの送受信が見込まれるネットワークポートおよびその他のインタフェースの一覧表。こ
のリストには
ポート機能の説明が含まれ、認可された目的地のエンドポイントに従って、ポートが受信、送信
または双方かが示される。
・機器が意図した通り稼働できるようなインフラストラクチャ要求事項のサポートに関するユー
ザー向けの特別なガイダンス(例. 最小限のネットワーク要求事項、サポートされた暗号化インタ
フェース)。必要な場合、このガイダンスには、セキュアなネットワーク展開とサービス提供を認
める技術的指示と、サイバーセキュリティ脆弱性またはインシデントの検知に対応する方法に関
するユーザー向けの指示が含まれる。
・「Ⅴ. SPDFを利用したサイバーセキュリティリスクマネジメント」の「A. セキュリティリス
クマネジメント」の「4. サードパーティ製ソフトウェアコンポーネント」で指定された、または
業界が受け入れたフォーマットに従ったSBOMにより、医療機器システムに対して特定された脆
弱性の潜在的インパクトを理解し、機器の安全性と有効性を維持するための対策を導入する。製
造業者は、ユーザーに対して、SBOM情報を継続的に提供するか、利用可能にすべきである。オ
ンラインポータルを利用する場合、製造業者は、ユーザーが正確な情報を含む最新のリンクを有

34. 34
• ソフトウェア部品表(SBOM)の活用(6)
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項(2)
・ソフトウェアが利用可能な時にユーザーが知る方法の説明など、バージョン識別が可能な製造
業者認可済バージョンのソフトウェアやファームウェアを、ユーザーがダウンロードするための
システマチックな手順に関する
説明。
・設計が、異常な状態を検知した時(例. セキュリティイベント)に機器が対応できるようにする
方法の説明。
これには、ユーザーに対する通知と重要な情報のロギングが含まれるべきである。セキュリティ
イベントのタイプは、構成の変更、ネットワークの異常、ログインの試み、異常なトラフィック
(例.未知のエンティティに対する
リクエストの送信)となる可能性がある。
・重要な機能(例.バックアップモード、ポート／通信の無効化)を保護する機器機能のハイレベル
の説明。
・認証された構成を復元するためのバックアップ・復元機能と手順の説明。
・認証・認可されたユーザーによる機器構成の保持と復旧のための方法の説明。
・医療機器システムに対するセキュリティリスクを拡大する可能性があるような、出荷した機器
のセキュアな
構成、ユーザーが構成可能な変更のための指示、ユーザーが構成可能な変更の特定。セキュアな
構成には、マルウェア対策、ファイアウォール／ファイアウォールのルール、許可リスト、不許
可リスト、セキュリティイベント・パラメータ、ロギング・パラメータ、物理的セキュリティ検
知など、エンドポイントの保護と、それらの周辺の資格情報の再設定が含まれる可能性がある。

35. 35
• ソフトウェア部品表(SBOM)の活用(7)
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項(3)
・意図した使用環境にとって適切な場所における、セキュリティイベント向けに保持するログ
ファイルなど、フォレンジックのエビデンスをキャプチャする方法に関する説明。ログファイル
の説明には、いつ、どこで、どのようなフォーマットで、ログファイルを配置、保存、再利用、
アーカイブ化すべきか、またどのようにして、自動分析
ソフトウェア(例. 侵入検知(IDS)、セキュリティ情報・イベント管理(SIEM))を利用できるよう
にするかが
含まれるべきである。
・機器セキュリティ(コンポーネントを含む)のサポート終了やライフサイクル終了に関して、既
知または予測
された情報。サポート終了時、製造業者は、セキュリティパッチやソフトウェア・アップデート
を十分提供できない場合がある。サポート終了後のサービスで機器が維持される場合、製造業者
は、エンドユーザーにとっての
サイバーセキュリティリスクが時間とともに拡大すると想定されるところに焦点を当てたリスク
移転のプロセスを、事前に設定し、あらかじめ伝達しておく必要がある。
・機微、機密で、独自のデータ・ソフトウェア製品の無害化により、セキュアに機器を廃止する
ことに関する情報。

36. 36
• 5. Q&A／ディスカッショ
ン