Uploaded byEiji Sasahara, Ph.D., MBA 笹原英司
医療機器サイバーセキュリティにおけるOWASPとCSAの連携
1. 輸出戦略に赤信号が灯る日本の医療機器 2. 医療機器開発におけるOWASPとCSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
![[DO08] 『変わらない開発現場』を変えていくために ~エンプラ系レガシー SIer のための DevOps 再入門~](https://cdn.slidesharecdn.com/ss_thumbnails/do08-170616023458-thumbnail.jpg?width=640&height=640&fit=bounds)
医療機器サイバーセキュリティにおけるOWASPとCSAの連携
- 1. www.cloudsecurityalliance.orgCopyright © 2011Cloud Security Alliance February 5, 2020 米国OWASP Los Angeles Chapter & CSA HIM WG @esasahara
- 2. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 輸出戦略に赤信号が灯る 日本の医療機器 2. 医療機器開発におけるOWASPと CSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
- 3. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 国際医療機器規制当局フォーラム(IMDRF) 「DRAFT DOCUMENT: Principles and Practices for Medical Device Cybersecurity」 (2019年10月1日) (http://www.imdrf.org/consultations/cons-ppmdc.asp) • 米国食品医薬品局(FDA)とカナダ保健省を共同座長とする IMDRF医療機器サイバーセキュリティ作業部会が策定 • 医療機器リスクマネジメントに関する国際標準規格「ISO 14971」および医療機器の品質マネジメントシステムに関する 国際標準規格「ISO 13485」に準拠
- 4. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 一般原則 (1)トータル製品ライフサイクル(TPLC) セキュリティ・リスクマネジメント・プロセス • セキュリティリスク分析 • セキュリティリスク評価 • セキュリティリスクコントロール • 全体の残余セキュリティリスク受容可能性評価 • セキュリティリスクマネジメント報告 • 生産および生産後の情報 医療機器製造業者の対策 • あらゆるサイバーセキュリティ脆弱性の特定 • 関連するリスクの推定と評価 • これらのリスクを許容できるレベルまでのコントロール • リスクコントロールの有効性のモニタリング
- 5. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)共有された責任 主要なステークホルダー • 医療機器製造業者 • 医療機関 • ユーザー • 規制当局 • 脆弱性の発見者(ホワイトハッカー含む) 全てのステークホルダーが、医療機器のライフサイクル全体に わたって、潜在的なサイバーセキュリティリスクと脅威に関する 継続的なモニタリング、評価、低減、伝達の責任を有する
- 6. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)情報共有 全てのステークホルダーが積極的に情報共有分析組織 (ISAOs)へ参画するよう推奨 (4)特定、保護、検知、対応、復旧する能力 NISTサイバーセキュリティフレームワークとのマッピング (5)国際調和 イノベーションを促進し、安全性および有効性のある医療 機器への迅速な患者のアクセスを可能にする 患者安全の維持を保証するために、世界の医療サイバー セキュリティへの取り組みが集約される必要がある
- 7. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2. 医療機器製造業者向けの市販前考慮事項 (1)セキュリティ要求事項とアーキテクチャ設計 セキュアな通信 データの機密性 データの完全性 ユーザーアクセス ソフトウェアのメンテナンス ハードウェアまたは物理的設計 信頼性と可用性 (2)リスクマネジメント セキュリティリスク評価 脅威モデル 脆弱性スコアリング
- 8. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)セキュリティテスト 医療機器の設計フェーズのバリデーションの要求事項 ーソフトウェアコンポーネント/モジュールにおける既知の 脆弱性またはソフトウェアの弱点に関するターゲット 検索の実行(例:静的コード解析、動的解析、堅牢性 テスト、脆弱性スキャニング、ソフトウェア・コンポジション 分析 ー技術的セキュリティ分析の実行(例:ペネトレーション テスト) ー脆弱性評価の遂行(例:脆弱性影響度評価)
- 9. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)市販後管理戦略 市販後監視計画 脆弱性開示プロセス パッチ当て・アップデート計画 復旧計画(例:サイバーインシデント対応) 情報共有(例:ISAOsへの参画) (5)表示または利用者セキュリティ文書 製造業者による文書(例:機器のインストール・構成 文書、稼働環境の技術要件文書、ソフトウェア部品表 (SBOM))
- 10. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)規制提出要求事項 設計文書 ーサイバーセキュリティリスク・脅威を低減する設計機能 リスクマネジメント文書 ー包括的なリスクマネジメント文書(例:脅威モデリング、 特定可能なサイバーセキュリティ脅威) ー他のリスクに対するセキュリティリスク低減の影響度 ー製品ライフサイクル全体を通して、機器のサイバーセキュリティ・ リジエンシーを維持するための計画 セキュリティテスト文書 ーテスト手法、結果、結論の記述 ーセキュリティリスク、セキュリティコントロール、コントロールを検証 するテストの間のトレーサビリティ・マトリックス表 市販後管理計画 表示または利用者セキュリティ文書
- 11. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3. 医療機器サイバーセキュリティの市販後考慮事項 (1)意図する使用環境で作動する機器 医療機関・患者向け: a. 医療機関が採用すべきサイバーセキュリティのベストプラクティス b. 全ユーザー向けの訓練/教育 医療機器製造業者向け: ・医療機関、再販業者、消費者との連携 (2)情報共有 主要なステークホルダー a. 規制当局 b. 医療機関 c. ユーザー d. 政府機関や情報共有主体などその他のステークホルダー (ISAOs、CERTsを含む)
- 12. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)情報共有(続き) 情報のタイプ 信頼できるコミュニケーション (3)協調的な脆弱性の公開(CVD) マルチステークホルダー環境下のプロアクティブな情報共有を 可能にするCVDポリシーおよび手順の採用を推奨 医療機器製造業者(製品CERT含む) 規制当局(当局間のグローバル連携含む) 脆弱性の報告者(セキュリティ研究者およびその他の脆弱性 発見者=ホワイトハッカー含む)
- 13. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)脆弱性の救済策 医療機器製造業者向け: a. リスクマネジメント b. サードパーティ・コンポーネント(サプライチェーン含む) c. コミュニケーション d. 救済行動 医療機関・患者向け: a. パッチ当て b. 専門医療施設環境向けの考慮事項 c. 在宅医療環境向けの考慮事項 規制当局: ー市販後のパッチ当て
- 14. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インシデント対応 医療機器製造業者向け: a. 役割と責任(ISO/IEC 27035への準拠) b. コミュニケーションの期待事項 (CERTやISAOsとの連携含む) 医療機関向け: a. ポリシーと役割 (CERTやISAOsとの連携含む) b. 役割ごとの訓練 c. 分析と対応 規制当局向け: ー患者安全への影響度評価、他の政府機関との連携 など
- 15. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (6)レガシー医療機器 医療機器製造業者向け: ー機器が最低限のセキュリティ・ベースラインを満たす、 セキュアな開発フレームワークに基づく機器の設計・開発 ーレガシー機器の重大な脆弱性に関するモニタリングと、 製品ライフサイクル管理に基づく最善の努力 ー医療機器ライフサイクル管理や製品寿命に関するコミュ ニケーションの明確化 医療機関向け: ー医療機器製造業者との間のコミュニケーションの改善 ーソフトウェア部品表(BOM)の有効活用 ー医療機器ライフサイクル管理に基づく製品寿命の明確化 ー医療機関が使用する医療機器の保守・維持の保証 ー既存環境におけるリスク・コントロールの限界に関する理解
- 16. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance OWASP/Cloud Security Alliance 「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日) (https://www.owasp.org/images/9/95/OWASP_Secure_Medical_Devices_Deployment_St andard_7.18.18.pdf) • 目的:医療施設内における医療機器の セキュアな導入のための包括的な指針を 提供する • PROJECT LEAD: Christopher Frenz • CONTRIBUTORS: K S Abhiraj、Hillary Baron、Christian Dameff、Aaron Guzman、Siren Hofvander、Ashish Mehta、Brian Moussalli、Michael Roza、 Igor Amorim Silva、Srinivas Tatipamula 出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日)
- 17. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (1)調達時のコントロール • セキュリティ監査/評価 • プライバシー・インパクト評価 • サポート評価(例.セキュリティパッチ当て) (2)境界の防御 • ファイアウォール • ネットワーク侵入検知/予防システム(NIDS/NIPS) • プロキシサーバー/Webフィルター
- 18. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)ネットワークセキュリティのコントロール • ネットワークのセグメント化 • 内部ファイアウォール • 内部ネットワークのNIDS/NIPS • Syslogサーバー • ログのモニタリング • 脆弱性のスキャニング • DNSシンクホール
- 19. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)デバイスセキュリティのコントロール • デフォルト認証情報の変更 • アカウントのロックアウト • セキュアな転送の実現 • ファームウェア/ソフトウェアのスペア・コピー • デバイス構成のバックアップ • ベースライン構成 • 暗号化ストレージ • 異なるユーザーアカウント(例.特権ユーザー) • 管理インタフェースへのアクセス制限 • メカニズムの更新 • 法令遵守のモニタリング • 物理的セキュリティ
- 20. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インタフェースと中央ステーションのセキュリティ • OSのハードニング • 暗号化された転送 • メッセージセキュリティ – HL7 v3セキュリティ標準規格 (6)セキュリティテスト • ペネトレーションテスト (7)インシデント対応 • インシデント対応計画 • 模擬的なシンシデント
- 21. www.cloudsecurityalliance.orgCopyright © 2012Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance Cloud Security Alliance 「Cloud Security Alliance Health Information Management Working Group Co-Chair Dr. Jim Angle to Present at HIMSS」(2019年11月20日) (https://cloudsecurityalliance.org/press-releases/2019/11/20/cloud-security-alliance-health-information- management-working-group-co-chair-dr-jim-angle-to-present-at-himss/) • HIMSS Global Health Conference & Exhibition • 日時:2020年3月11日午後2:30~(現地時間) • 会場:米国フロリダ州オーランド • テーマ:“Managing the Risk for Medical Devices Connected to the Cloud”
- 22. www.cloudsecurityalliance.orgCopyright © 2011Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance 薬害エイズ事件の教訓を活かす