月別アーカイブ: 2022年8月

バイオ/医療サプライチェーンのサイバーセキュリティリスク管理(前編)

医療分野では、医療機関の委託を受けた臨床検査サービス機関やオンラインストレージベンダーなどから、患者の個人情報が外部流出するインシデントが続発している。また、新型コロナウイルス感染症(COVID-19)ワクチン開発に関わる研究開発組織や製造・物流施設、市販前/市販後規制当局、公衆衛生行政機関など、ワクチンサプライチェーン全体を狙った高度標的型(APT)攻撃に対して、世界各国・地域の当局が共同で注意喚起を発出するケースも起きている。

医療サプライチェーン全体に渡るリスク管理プログラムの必要性

このように、世界レベルで医療のサプライチェーンセキュリティに注目が集まる中、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2022年5月11日に「医療サプライチェーンのサイバーセキュリティリスク管理」(https://cloudsecurityalliance.org/artifacts/healthcare-supply-chain-cybersecurity-risk-management/)を公開している。この文書は、医療分野のサプライチェーンに潜むサイバーリスクを最小化するために、医療機関が、適切なリスク管理プラクティスを実践し、サプライヤーやサードパーティベンダーに対するリスク評価を行う際の課題や対策の方向性を示したものである。

本文書では、最初に、医療分野においてサプライチェーンリスク管理プログラムが失敗する理由として、以下のような点を挙げている。

  1. 自動化の欠如と手動のリスク管理プロセスへの信頼が 医療において利用されるデジタルアプリケーションや医療機器のサイバー脅威とその拡散への対応を難しくする
  2. ベンダーリスク評価に時間と費用を要するため、ごく一部の医療機関しかベンダーに対するリスク評価を実行していない
  3. 重要なベンダー管理のコントロールや手順が、部分的に展開されている場合や、まったく展開されていない場合が多い

理由の如何に関わらず、思慮深い医療機関は、サプライチェーンリスク評価サイクルを通じてプロセスを管理する効果的なサプライチェーンリスク管理プログラムを有しているという。このライフサイクルは、以下の4つのフェーズから構成される。

  • サプライヤー評価基準を決定する
  • リスクを評価する
  • リスクを処理する
  • モニタリングと対応

これらのリスクを管理する横断的な手法が、医療サプライチェーンのサイバーリスク管理であるとしている。 続きを読む