医療分野では、医療機関の委託を受けた臨床検査サービス機関やオンラインストレージベンダーなどから、患者の個人情報が外部流出するインシデントが続発している。また、新型コロナウイルス感染症(COVID-19)ワクチン開発に関わる研究開発組織や製造・物流施設、市販前/市販後規制当局、公衆衛生行政機関など、ワクチンサプライチェーン全体を狙った高度標的型(APT)攻撃に対して、世界各国・地域の当局が共同で注意喚起を発出するケースも起きている。
医療サプライチェーン全体に渡るリスク管理プログラムの必要性
このように、世界レベルで医療のサプライチェーンセキュリティに注目が集まる中、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2022年5月11日に「医療サプライチェーンのサイバーセキュリティリスク管理」(https://cloudsecurityalliance.org/artifacts/healthcare-supply-chain-cybersecurity-risk-management/)を公開している。この文書は、医療分野のサプライチェーンに潜むサイバーリスクを最小化するために、医療機関が、適切なリスク管理プラクティスを実践し、サプライヤーやサードパーティベンダーに対するリスク評価を行う際の課題や対策の方向性を示したものである。
本文書では、最初に、医療分野においてサプライチェーンリスク管理プログラムが失敗する理由として、以下のような点を挙げている。
- 自動化の欠如と手動のリスク管理プロセスへの信頼が 医療において利用されるデジタルアプリケーションや医療機器のサイバー脅威とその拡散への対応を難しくする
- ベンダーリスク評価に時間と費用を要するため、ごく一部の医療機関しかベンダーに対するリスク評価を実行していない
- 重要なベンダー管理のコントロールや手順が、部分的に展開されている場合や、まったく展開されていない場合が多い
理由の如何に関わらず、思慮深い医療機関は、サプライチェーンリスク評価サイクルを通じてプロセスを管理する効果的なサプライチェーンリスク管理プログラムを有しているという。このライフサイクルは、以下の4つのフェーズから構成される。
- サプライヤー評価基準を決定する
- リスクを評価する
- リスクを処理する
- モニタリングと対応
これらのリスクを管理する横断的な手法が、医療サプライチェーンのサイバーリスク管理であるとしている。
「サイバーサプライチェーンリスク管理」と「サプライチェーンサイバーリスク管理」
サプライチェーン内部のサイバーリスクに取組む場合、2つの懸念事項がある。1つは、「サイバーサプライチェーンリスク管理」であり、ITネットワークや、ハードウェア、ソフトウェアのシステムのセキュリティに焦点を当てている。もう1つは、「サプライチェーンサイバーリスク管理」であり、サイバーリスクに取組む伝統的なサプライチェーンを対象としている。そして、医療機関は双方に取組む必要があるとしている。
そして、サプライチェーンにおけるサイバーセキュリティリスクは、サプライヤーおよびそのサプライチェーンや製品・サービスを介したサイバーセキュリティリスクから生じる有害事象や侵害の潜在的可能性にあるとしている。
サプライチェーンリスクは、サプライヤーのリスクが直接、現場の事業に影響を及ぼすため、医療機関にとって新たな懸念事項となっている。たとえば医療機関は、以下のような組織内にあるサイバーリスクを注視する必要があるとしている
- 供給用受発注プラットフォームがランサムウェア攻撃に遭ったら、何が起きるか?
- 決済アプリケーションが侵害されたら、何か起きるか(供給に対する支払ができないか、サプライヤーがランサムウェアの犠牲になったために供給を受けられないか)?
サプライチェーンに関するリスクのタイプは、他のサイバーリスクに似ているが、そのインパクトは壊滅的になる可能性がある。具体的には、以下のようなことが起こり得る。
- 医療機関が電子健康記録(EHR)を利用できなくなったら、紙の記録を利用して、EHRの再開時に追加しなければならない
- 医療サプライや医薬品が不足したら、業務ができなくなる
さらに、情報技術(IT)やインターネット、クラウドコンピューティング、エッジコンピューティングは、我々の生活や仕事のトランスフォーメーションをもたらしつつあるとした上で、以下のような機会と課題の双方を提示している。
- 情報通信技術(ICT)システムは、重要インフラストラクチャなしですまされない
- 社会は、多くのICTシステムに対する脅威に直面している(サイバー犯罪、経済的スパイ活動、軍事的スパイ活動、サイバー戦争など)
- ICTシステムを攻撃するのに利用される攻撃ベクターが多数ある(脆弱性の悪用、設定ミスの悪用、古い/パッチ当てされていないシステムの悪用、ソーシャルエンジニアリングなど)
- クラウドコンピューティング環境で拡大するサプライチェーン攻撃表面
サプライチェーンリスクには、2つのサイバーセキュリティ課題がある。1つは、伝統的なサイバーセキュリティ課題であり、大抵の情報システムと同様に、サプライチェーンが利用する情報システムを取り巻く脅威や脆弱性に依るものである。もう1つは、出荷/自動車物流会社や顧客が適用した計装設備によって生成される新たなサイバーセキュリティ課題であり、出荷状況やGPSの位置情報に関する更新情報をリアルタイムで提供するIoT機器などが含まれる。
なお本文書では、国立標準技術研究所(NIST)の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク(NISTサイバーセキュリティフレームワーク)1.1版」より、サプライチェーンリスクマネジメントに関わる以下の5つのサブカテゴリーを挙げている。
- ID.SC-1: サイバーサプライチェーンのリスクマネジメントプロセスが、組織の利害関係者によって、識別され、定められ、評価され、承認されている
- ID.SC-2: 情報システム、コンポーネント、サービスのサプライヤーと第三者であるパートナーが、識別され、優先順位付けられ、サイバーサプライチェーンのリスクアセス面とプロセスにより、評価されている。
- ID.SC-3: サプライヤーおよび第三者であるパートナーとの契約が、組織のサイバーセキュリティプログラムやサイバーサプライチェーンのリスクマネジメント計画の目的を達成するための適切な対策の実施に活用されている
- ID.SC-4: サプライヤーおよび第三者であるパートナーが、監査、テストの結果、またはその他の評価に基づき、契約上の義務を満たしているか、定期的に評価されている
- ID.SC-5: 対応・復旧計画の策定とテストが、サプライヤーおよび第三者プロバイダーとともに行われている
簡単でないサプライヤーのリスク評価と継続的モニタリング
医療機関のコア機能に加えて、サプライチェーンパートナーは、すべてのビジネス機能に統合されていく。医療機関にとって、すべてのリスクに対して直接のコントロールがないという点で、サプライチェーンリスクは独特なものである。医療機関は、初期のリスク評価に加えて、顕在化した新たな脅威や脆弱性を特定するための継続的モニタリングを確実に含めるようすべきであるとしている。
サプライチェーンリスクを特定する最初のステップは、サプライヤーの特定である。医療機関がすべてのサプライヤーについてリスク評価を実行することができると考えるのは現実的でない。実際には、医療機関と1次サプライヤー、2次サプライヤー、3次サプライヤーの間で、サプライチェーンの可視性の境界線を表現するといった方法が利用されている。ただし、サプライヤーのセキュリティポスチャーに関する保証を得るために、医療機関が活用できるツールは、HITRUST、ISO27001、ISO27017、STAR認証、SOC2などに限定されている。サプライヤーのセキュリティポスチャーを保証する仕組みをどう構築・運用するかは、今後の大きな課題である。
なお、米国では、偽造医薬品対策を目的として2013年11月27日に制定された「医薬品サプライチェーン安全保障法(DSCSA)」に基づいて、医薬品製造業者から、再包装業者、卸売業者/サードパーティーロジスティクス・プロバイダー、医療機関・薬局に至るまでのサプライチェーンの各段階で、トレーサビリティを電子的に管理するための取組が行われている。医薬品トレーサビリティ管理の効率化・自動化のために、RFIDタグ、IoTデバイス、ブロックチェーン/分散台帳技術などが導入されている反面、DSCSAの追跡対象となるサプライヤー(Trading Partners)の範囲も複雑化している。米国向けに医療用医薬品を供給する日本国内の製造業者もDSCSAが適用される。バイオ医薬品や再生医療の場合、製造プロセスが高度化・複雑化するので、特に注意が必要である。
サプライヤーのクラウドデータライフサイクルに注意
加えて、クラウドサービスの普及により、医療機関およびそのサプライヤーの間で、クラウドベースの情報システムを構築・運用するケースが増えている。現場のユーザー部門主導で、IT部門やセキュリティ部門の支援を受けなくても導入・運用できるサービスが拡大している反面、ひと度クラウドサービス事業者側でインシデントが発生すると、サプライヤー側のシステムを介して、臨床現場の業務に影響が及ぶリスクも存在する。
サプライヤーがクラウドを有効活用している場合、医療機関は、リスク評価やコントロール評価を厳格に実施して、サプライヤーがクラウドコンピューティングに関連するリスクを十分理解しているかどうか確認する必要がある。加えて、サプライヤーやクラウドサービスプロバイダーが設定したコントロール策を特定して、両者間にギャップが存在しないかを確認しておく必要がある。本文書では、以下の6段階から成るクラウドデータライフサイクルを提示している。
- 生成(Create): 新たなコンテンツが生成される
- 保存(Store): データがストレージに委託される
- 利用(Use): データが閲覧・処理される
- 共有(Share): データの他人による利用が可能になる
- アーカイブ化(Archive): もはや活発に利用されなくなったら、データは長期ストレージに委託される
- 破壊(Destroy): もはや必要でなくなったら、データは永久に破壊される
そして医療機関は、どのサプライヤーが最も重要かを判断する必要があるとしている。個々のサプライヤーのリスクの度合いに従って分類することによって、医療機関はリスク低減計画を構築することができる。本文書では、サプライヤー分類の際の主要リスクファクターとして、以下を挙げている。
- サプライヤーがアクセス、保存または処理するデータのタイプ
- サプライヤーがアクセス、保存または処理するデータの容量
- サプライヤーがアクセス、保存または処理するデータの要素
- 制限されたデータ 対 非識別化データ
医療機関は、組織戦略全体の指針とするために、サプライヤーのリスク評価プロセスを標準化、文書化しておくことが必要だとしている。その上で、以下のような点を考慮すべきだとしている。
- サプライチェーン固有のリスクを評価するためのフレームワークを展開する。個々のベンダーに固有のリスク評定を割り当てる
- 固有のリスク評定に基づいて、サプライチェーン評価の頻度とスコープを設定する。サプライチェーンリスク評価は一度で終わってしまうプロセスではない。医療機関は、サプライチェーンが、変化する脅威の方向性や新たな脆弱性についていくことを保証しなければならない。
- 確立した標準規格に従って、サプライチェーン評価を実施する。以前の評価から、オープンな課題の状況について議論する。
- 評価結果を、ベンダーおよび内部ステークホルダーと共有する。ベンダーに課題への取組に関する責任を負わせて、リスク登録における評価結果を記録する。
- 現行のサプライチェーンのインターネット表面に関するITプロファイルの知識(ドメイン、ネットワーク、システム、システムホスティングプロバイダー、システム位置情報など)を維持する。継続的な表面評価結果に基づいて、評価計画を調整する。
- 改善のために懸念のある領域をモニタリングする、継続的な表面セキュリティ評価機能を利用する。組織のために、継続的な表面評価結果に対するサプライチェーンの継続的なアクセスを提供する。
- サプライチェーン表面のリスク状態を継続的に評価することによって、サプライチェーンの露出に関する現行の理解を維持する。
- 残存リスクに基づいて、評価頻度を決定し、以前または継続的な評価結果で、固有のリスク評定を因数分解する。
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司