クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ（HIM-WG）が2022年5月11日に公開した「医療サプライチェーンのサイバーセキュリティリスク管理」（https://cloudsecurityalliance.org/artifacts/healthcare-supply-chain-cybersecurity-risk-management/）について、前編では、サプライヤーに対するリスク管理や継続的なモニタリングの重要性を提示した、後編では、実務的なサプライチェーンリスクの取扱や対応計画策定上の留意事項、欧米のサプライチェーンセキュリティ標準化動向などについて概説する。

サプライチェーンリスクの取扱と情報共有

医療機関は、組織の規模に見合ったサプライチェーンリスク管理のためのプログラムを設置する必要がある。サプライチェーンリスク管理（SCRM）プログラムは、組織の規模に関係なく不可欠であり、ひと度リスクを特定したら、効果的にリスクを低減するために管理する必要がある。

その際には、サプライチェーンベンダーを関与させながら、リスク管理に必要な戦術およびシステムのセキュリティパフォーマンス評価に取組む必要がある。また、リスク管理パフォーマンス基準を満たすために求められるサプライチェーンを維持することによって、リスクの露出を抑制しなければならない。そして、ベンダーに対する迅速かつ適切で実用的なフィードバックは、サプライチェーンベンダーが的確なことを実行するために、強力な動機付けとなる。加えて、医療機関は、サプライチェーンベンダーに対して、リスクにより優先順位付けされた行動計画を提供する必要がある。

なおCSAは、サプライチェーンリスクの取扱に関連したベストプラクティスとして、以下のような対策を挙げている。

1. サプライチェーンベンダーと評価結果を共有する
2. 内部ステークホルダーと評価結果を共有する
3. リスク登録簿に評価結果を記録する
4. サプライチェーンベンダーが、特定された課題への取組に責任を有するよう維持する
5. サプライチェーンベンダーに対して、継続的な組織の表面の評価結果へのアクセスを提供する

サプライチェーンの最上流に位置する医薬品・医療機器メーカーや研究開発型スタートアップ企業も、早期段階からサプライチェーンエコシステムを構成する患者・消費者や医療機関、企業、規制当局などとの間でリスク情報を共有できるような仕組みを構築しておくことが望ましい。

サプライチェーンリスクのモニタリングと対応計画

サプライチェーンモニタリングは、企業や団体組織が原材料や部品をサプライヤーに注文して、最終製品が顧客のところに届くまでの間、サプライチェーンにおける様々なオペレーションやイベントを追跡する総括的なプロセスであり、医療機関の業務上の有害事象を回避または最小化するために、できるだけ早く混乱を検知することを目的としている。飲みたリングの対象には、物流およびその他の複雑な業務プロセスが含まれており、医療機関の既存のサプライチェーンに関する特定のサプライヤーのリスク評価や、定期的なスクリーニングなども実施される。定期的なモニタリングや監査は、効果的なコンプライアンスプログラムの重要ファクターとなっている。

また医療機関は、サプライチェーンインフラストラクチャ全体に渡る入内な脆弱性の露出を抑制する機能を備える必要がある。これには、サプライチェーンベンダーの再委託先がどこにあるかを知ることも含まれる。CSAは、再委託先管理に関連して、以下のような点を推奨している。

• 定期的にリスク評価を更新する
• 契約書上、監査権限が付与されていることを確認する

他方、世界中の医療機関が、ランサムウェア攻撃など、様々な深刻度を持ったサプライチェーン脅威に直面していることから、サプライチェーン上のサイバー脅威を防止、検知、対応するためのセキュリティリスク管理計画を策定しておく必要がある。

CSAは、医療機関に対して、以下のようなサプライチェーンリスク対応計画を立てるよう推奨している。

1. サプライヤーが組織の情報システムや資産に対してする可能性がある遠隔アクセスを停止する
2. サプライヤーの従業員に帰属するユーザーIDのパスワードを変更する／またはユーザーアカウントを無効にする
3. 影響を受けたサプライヤーから送信される電子メールを監視する
4. 影響を受けたベンダーと相互作用する従業員に警告する
5. ウイルス対策のシグネチャが最新であることを保証する
6. 重要なシステムがパッチ当てされ、更新されていることを保証する.
7. バックアップが効果的に運用されていることを保証する
8. 適切な場合は専門のサードパーティ（例．サイバーセキュリティフォレンジック）を関与させる
9. サプライヤーのインシデントの詳細について、以下のような項目を要求する:
   1. タイムライン
   2. セキュリティ侵害インジケーター(IoC)
   3. 影響を受けたシステム
   4. 既知であればマルウェア／侵害のソース（例．資格情報のフィッシング）
   5. 有望な標的に関するあらゆる情報
   6. 横方向への移動の戦術や技術に関するあらゆる情報
   7. とった行動

医療サプライチェーンリスク管理の標準化に向けた動き

米国の医療・公衆衛生セクター調整委員会（HSCC）は、前編で触れたNISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク（NISTサイバーセキュリティフレームワーク）1.1版」を、保健医療分野のサプライチェーンセキュリティに適用させるための指針として、2020年9月22日、「保健医療産業サプライチェーンリスクマネジメントガイド（HIC-SCRiM)第2.0版」（https://healthsectorcouncil.org/hic-scrim-v2/）を公開している。HIC-SCRiM)第2.0版は、以下のような構成になっている。

• エグゼクティブサマリー
• 背景
• NIST CSF要求事項ID.SC-1への適合: サイバーサプライチェーンのリスクマネジメントプロセスが、組織の利害関係者によって、識別され、定められ、評価され、承認されている
• NIST CSF要求事項ID.SC-2への適合: 情報システム、コンポーネント、サービスのサプライヤーと第三者であるパートナーが、識別され、優先順位付けられ、サイバーサプライチェーンのリスクアセス面とプロセスにより、評価されている。
• NIST CSF要求事項ID.SC-3への適合: サプライヤーおよび第三者であるパートナーとの契約が、組織のサイバーセキュリティプログラムやサイバーサプライチェーンのリスクマネジメント計画の目的を達成するための適切な対策の実施に活用されている
• ・NIST CSF要求事項ID.SC-4への適合: サプライヤーおよび第三者であるパートナーが、監査、テストの結果、またはその他の評価に基づき、契約上の義務を満たしているか、定期的に評価されている
• NIST CSF要求事項ID.SC-5への適合: 対応・復旧計画の策定とテストが、サプライヤーおよび第三者プロバイダーとともに行われている
• 結語
• 附表A：サプライヤー在庫向けExcelテンプレート
  （サプライヤーリスク管理プログラムの部品および在庫の属性について支援するテンプレート）
• 附表B：ポリシーテンプレート
• （サプライヤーの在庫管理、リスク評価、リスク処理ガイドなど、サプライヤーリスク管理プログラムを設定・維持するためのプロセス）
• 附表C：リスク評価テンプレート（サイバーセキュリティ要求事項、契約用語、契約管理プロセスの支援ツール）
• 附表D：契約用語・要求事項テンプレート（サプライヤーが契約書のコミットメントを遵守していることを保証するのに役立つガイドラインおよびテンプレート
• 附表E：サプライヤーリスク管理ライフサイクル（サプライヤーのサイバーセキュリティインシデントへの対応・復旧の計画・検証）
• 附表F：契約遵守を示すためのサプライヤー向けサイバーセキュリティKPI例
• 附表G：サプライヤーのプライバシー／セキュリティインシデント対応ガイド例
• 用語集
• 参考文献

この中で「NIST CSF要求事項ID.SC-1への適合」～「NIST CSF要求事項ID.SC-5への適合」は、NISTサイバーセキュリティフレームワークのサプライチェーンリスク管理関連要求事項を、医療・公衆衛生セクター特有の要件とマッピングしたものである。また、附表A～Eは、医療機関が、サプライチェーンリスク管理策を道入・運用する際に必要なガイドライン・テンプレート類となっている。

なお、医療機関やそのサプライヤーが利用するクラウドサービスについては、保健福祉省（HHS）傘下の公民権室（OCR）が、2016年10月6日に「HIPAA（Health Insurance Portability and Accountability Act of 1996：医療保険の携行性と責任に関する法律）とクラウドコンピューティングに関するガイダンス」（https://www.hhs.gov/hipaa/for-professionals/special-topics/health-information-technology/cloud-computing/index.html）を公開しており、クラウドサービスプロバイダー（CSP）の役割や法的責任が明確になっている。

業種・業界や国境の枠を越えたサプライチェーンリスク管理プログラムの展開

医療・バイオに限らず、全産業レベルでも、サプライチェーンリスク管理策の標準化に向けた動きが加速している。たとえばNISTは、2015年4月9日に、「NIST SP 800-161：連邦政府システムおよび組織のためのサプライチェーンリスクマネジメント・プラクティス」（https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf）と題するガイドラインを公開している。その後、バイデン大統領による「国家のサイバーセキュリティの向上に関する大統領令第14028号（https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity）を受けて、2022年５月5日にNIST SP 800-161改定第１版（https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf）を公表している。

NIST SP 800-161改定第１版では、サプライチェーンについて、企業の複数レベル間に渡るリソースおよびプロセスの紐付けされた設定であり、それぞれが製品・サービスの調達から始まる購入者で、製品・サービスのライフサイクルを通じて拡張するものであるとしている。また、サプライチェーンを通したリスクについて、サプライヤー、そのサプライチェーン、製品またはサービスから発生する場合がある損害や侵害の潜在的可能性であるとしている。その上で、以下のような構成となっている。

1. イントロダクション
2. C-SCRMのエンタープライズリスクマネジメント
   1. C-SCRMのビジネスケース
   2. サプライチェーンを通したサイバーセキュリティリスク
   3. 階層的リスク管理
3. 重要な成功要因
   1. 調達におけるC-SCRM
   2. サプライチェーン情報共有
   3. C-SCRMのトレーニングと認識
   4. C-SCRMの重要なプラクティス
   5. ケーパビリティの展開
   6. 専用リソース
4. 参考文献

他方、欧州では、欧州ネットワーク情報セキュリティ庁（ENISA）が、病院の医療専門家向けに、サイバーセキュリティの目的を満たす調達プロセスの改善方法についての標準的な指針を提供することを目的として、2020年2月24日に「病院におけるサイバーセキュリティ向け調達ガイドライン」（https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services）を公開している。ENISAは、そして、病院に対する脅威について、以下の5つを柱に定義している。

• 自然現象
• サプライチェーン障害
• 人的エラー
• 悪意のある行動
• システム障害

その上で、以下の各フェーズについて、セキュリティ調達関連推奨事項およびグッドプラクティスを整理している。

<一般的なプラクティス>

• 調達におけるIT部門の関与
• 脆弱性管理
• ハードウェア／ソフトウェア・アップデートのためのポリシー構築
• セキュアな無線通信
• 検証ポリシーの策定
• 事業継続計画の策定
• 相互運用性の課題の考慮
• 監査やロギングの許容
• 暗号化の利用

<計画フェーズ>

• リスク評価の実施
• 要求事項の事前計画
• アイデンティティ脅威
• ネットワークの分離
• サプライヤー向け適格基準の策定
• クラウド向け専用提案依頼書（RFP）の構築

<ソース・フェーズ>

• 認証の要求
• データ保護影響評価（DPIA）の実施
• レガシーシステムの取り扱い
• サイバーセキュリティ・トレーニングの提供
• インシデント対応計画の開発
• インシデント管理におけるサプライヤーの関与
• 維持運用の編成
• セキュアな遠隔アクセス
• パッチ当ての要求

<管理フェーズ>

• サイバーセキュリティの認識の高揚
• 資産在庫および構成管理遂行
• 医療機器設備向け専用アクセス制御メカニズム
• 頻繁なまたはアーキテクチャ／システム変更後のペネトレーションテストのスケジュール設定

このように、サプライチェーンリスク管理策は、世界各国の医療機関の調達基準に組み込まれており、今後、サプライヤー企業およびその外部パートナーは十分注意する必要がある。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司