2023年5月8日、クラウドセキュリティアライアンス（CSA）の健康医療情報管理ワーキンググループ／ゼロトラストワーキンググループ／SDPワーキンググループは、「ゼロトラストアーキテクチャにおける医療機器」(https://cloudsecurityalliance.org/artifacts/medical-devices-in-a-zero-trust-architecture/)を公開した。ここでは、米国の医療ICTプラットフォームにおけるゼロトラストモデルや、その上で稼働する医療機器のサプライチェーンセキュリティを支えるソフトウェア部品表(SBOM)やハードウェア部品表(HBOM)の導入動向やその背景について概説する。

連邦政府主導で進む医療分野のゼロトラストモデル導入

米国で、医療機関のゼロトラストモデル導入に強い関心を示してきたのは、保健福祉省（HHS）である。たとえば、同傘下の保健医療セクターサイバーセキュリティ調整センター（HHS HC3）は、2020年10月1日に「医療におけるゼロトラスト（Report #: 202010011030）」（https://www.hhs.gov/sites/default/files/zero-trust.pdf）を公表している。その中で、ゼロトラストの定義について、2010年にフォレスターリサーチのジョン・キンダーバグ氏が提唱した概念を引用して、現在のIT環境や職場環境に取り組むために、境界防御型の城と堀のセキュリティモデルからシフトした手法だとしている。そして、デバイス、ユーザー、ワークロード、システムの全てについて、稼働する場所に関係なく、セキュリティ境界の内側、外側のいずれに関わらず、デフォルトで信頼できないものだと想定している。

HHS-HC3は、従来の境界防御型セキュリティモデルの境界を越えたゼロトラストアーキテクチャの新たなアイデンティティ境界の事例として、在宅勤務、モバイル機器、個人用機器、クラウドアプリケーション、ハイブリッドクラウド、ベンダー／外部委託先を挙げている。

将来的に、IoMT(Internet of Medical Things)、拡張現実、ロボットなどを実装した相互接続環境を想定すると、現在、多くの医療機関が利用している境界防御型セキュリティモデルがもはや有効でないことは明らかだ。医療機関が、このようなトレンドの先を行くためには、基盤投資を継続的に行いながら、「城と堀」のアプローチからゼロトラストモデルへの根本的なシフトを実行する必要があるとしている。そして、ゼロトラストモデルは、データ、ワークロード、アイデンティティに注力することによって、医療機関が、より効果的な方法でアクセスを設定する際に役立つとしている。

なおHHSは、ゼロトラストセキュリティの対象技術領域として、以下の7つを挙げている。

1. デバイス・セキュリティ
2. ネットワーク・セキュリティ
3. データ・セキュリティ
4. ワークロード・セキュリティ
5. アイデンティティ・アクセス管理
6. 可視化ツール
7. オーケストレーション・プラットフォーム

米国大統領令を起点とする連邦政府のゼロトラスト導入政策

他方、米国連邦政府全体のレベルでは、2021年5月12日に大統領行政府が発出した「国家サイバーセキュリティに関する大統領令第14028号」(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/)を受けて、米合衆国行政管理予算局(OMB)が、2022年1月26日に「M-22-09米国連邦政府のゼロトラスト原則への移行」(https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf)を公表した。OMBは、HHSを含む各連邦政府機関に対し、サイバーセキュリティ・インフラストラクチャ庁(CISA)のゼロトラスト成熟度モデルversion 1 (https://www.cisa.gov/news-events/news/cisa-releases-cloud-security-technical-reference-architecture-and-zero-trust)で設定された以下の5つの領域について、2024会計年度末までにゼロトラストセキュリティの目標を達成するよう求めた。

・領域1. アイデンティティ
(目標)連邦政府機関のスタッフは、作業で利用するアプリケーションにアクセスする際に、エンタープライズ管理型のアイデンティティを利用する。
・領域2. デバイス
(目標)連邦政府は、政府利用のために運用し、認可するすべてのデバイスについて完全に在庫を把握し、これらのデバイスに関するインシデントの防止、検知、対応ができる。
・領域3. ネットワーク
(目標)各省庁は、自らの環境内におけるすべてのDNSリクエストやHTTPトラフィックを暗号化し、分離した環境に境界をブレイクダウンする計画の導入を開始する。
・領域4. アプリケーションとワークロード
(目標)各省庁は、すべてのアプリケーションをインターネット接続されたものとして取り扱い、日常的に厳格な実証試験を受けて、外部からの脆弱性報告を歓迎する。
・領域5. データ
(目標)各省庁は、完全なデータ分類を利用した保護策を展開するために、明確で共有されたパスに向かう。各省庁は、機微データへのアクセスをモニタリングするために、クラウドセキュリティサービスを有効活用して、組織全体のロギングや情報共有を展開してきた。

このような流れを受けて、HHS傘下で医療機器・医薬品を所管する米国食品医薬品局(FDA)は、2022年3月30日に「モダナイゼーション・イン・アクション2022」(https://www.fda.gov/about-fda/reports/modernization-action-2022)を公表し、最も優先度の高いテーマとして、ゼロトラストモデルの導入を掲げた。

その後2022年11月17日には、FDA傘下の情報セキュリティ室とデジタルトランスフォーメーション室(ODT)が、「サイバーセキュリティ現代化行動計画(CMAP)」(https://www.fda.gov/about-fda/office-digital-transformation/cybersecurity-modernization-action-plan)を公表した。この計画で提示した重要なアクションは以下の通りである。

• 新たなデジタルサービスと現代化の取組みを促進するために、包括的なゼロトラストアプローチを確立する。
• 開発ライフサイクルの全段階でセキュリティ対策をカバーするために、ソフトウェア保証のベストプラクティスを促進する。
• FDAおよび公衆衛生のパートナー全体に渡って、相互運用性がありセキュアなデータ交換と協力を強化する。
• 人工知能／機械学習（AI／ML）技術を活用して、サイバー検知および対応機能を強化する。カウンターインテリジェンスとインサイダーリスクの原則をゼロトラストモデルと統合して、インテリジェンス駆動型アプローチを可能にする。
• FDAのサイバーセキュリティ労働力を優先順位付けして投資する。

これらのアクションを達成することによって、CMAPは、以下のような改善点をもたらすとしている。

• カスタマーエクスペリエンスの向上
• パフォーマンスの向上
• 視界や状況認識の強化
• 脅威保護の強化
• クラウドに対するレイテンシーと速度の低減

なおクラウドセキュリティに関しては、「連邦情報セキュリティマネジメント法(FISMA）」(2002年12月制定）に基づき策定された連邦政府共通のクラウドサービス調達のためのセキュリティ基準「FedRAMP」(https://www.fedramp.gov/)が適用される。ただし国防総省傘下の各機関については、国防情報システム局（DISA）がFedRAMPに独自の要求事項を加味した「クラウドコンピューティングセキュリティ要求事項ガイド(SRG)」(https://public.cyber.mil/dccs/dccs-documents/)が適用される。

米国大統領令を起点とする医療機器ライフサイクル管理へのSBOM適用

米国立標準技術研究所(NIST)は、前述の「国家サイバーセキュリティに関する大統領令第14028号」に対応して、2021年6月2～3日に「ソフトウェアサプライチェーン強化に関するワークショップおよびポジションペーパー募集」(https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/workshop-and-call-position-papers)を公表した。

このNISTの公募に対して、FDAが2021年5月26日に回答したのが、「FDA CDRHと医療機器サイバーセキュリティ：連邦政府のサイバーセキュリティ向上に関する大統領令［第14028号］についてのNISTへの回答書」(https://www.fda.gov/media/149954/download) である。FDAの回答項目は以下の通りである。

• “重要ソフトウェア”を指定する基準
• 連邦政府調達向けの標準規格とガイドライン
• 連邦政府の重要ソフトウェア使用に適用されるべきセキュリティ対策の概要を示したガイドライ
• ソフトウェアのソースコード検証向けの初期における最小限の要求事項
• ソフトウェアのインテグリティチェーン・来歴向けガイドライン

このうち「2. 連邦政府調達向けの標準規格とガイドライン」の中で、FDAが、国際医療機器規制当局フォーラム(IMDRF)や共同セキュリティ計画(JSP)と協力して、グローバルな医療機器規制フレームワーク全体に渡ってサイバーセキュリティをハーモナイズし、一貫性をもたらすことを意図したプロジェクトが、ソフトウェア部品表(SBOM)である。その活動の成果物が、IMDRFの「医療機器サイバーセキュリティ向けソフトウェア部品表(SBOM)の原則と実践」(https://www.imdrf.org/documents/principles-and-practices-software-bill-materials-medical-device-cybersecurity)や、JSPの「医療機器とヘルスITの共同セキュリティ計画」(https://healthsectorcouncil.org/wp-content/uploads/2021/11/HSCC-MEDTECH-JSP-v1.pdf)である。

さらにFDAは、2023年9月27日、「医療機器のサイバーセキュリティ：品質システムの考慮事項と承認申請手続の内容 – 業界および食品医薬品局スタッフ向けガイダンス」(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions)を公開した。これは、FDAは2014年10月2日に公開した「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 – 業界および食品医薬品局スタッフ向けガイダンス」の改訂版であり、以下のような構成になっている。

Ⅰ. イントロダクション
Ⅱ. スコープ
Ⅲ. 背景
Ⅳ. 一般原則
A. サイバーセキュリティは機器の安全性および品質システム規制の一部である
1. セキュア製品開発フレームワーク(SPDF)がQS規制を満たす手段の1つとなる可能性がある
B. セキュリティ向けの設計
C. 透明性
D. 申請の文書化
Ⅴ. SPDFを利用したサイバーセキュリティリスク管理
A. セキュリティリスク管理
1. 脅威モデリング
2. サイバーセキュリティリスク評価
3. 相互運用性の考慮事項
4. サードパーティ・ソフトウェア・コンポーネント
5. 未解決の異常のセキュリティ評価
6. TPLCセキュリティリスク管理
B. セキュリティ・アーキテクチャ
1. セキュリティ制御の実装
2. セキュリティ・アーキテクチャのビュー
C. サイバーセキュリティ・テスト
VI．サイバーセキュリティの透明性
A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項
B. サイバーセキュリティ管理計画
附表1. セキュリティ制御の分類および関連する推奨事項
A. 認証
B. 認可
C. 暗号化
D. コード、データ、実行整合性
E. 機密性
F. イベント検知とロギング
G. 強靭性と復旧
H. ファームウェアとソフトウェアのアップデート
附表2. セキュリティアーキテクチャ・フロー向けの申請の文書化
A. ダイアグラム
B. アーキテクチャ・ビュー向けの情報の詳細
附表3. 臨床試験使用機器免除(IDE)向けの申請の文書化
附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング
附表5. 用語

ソフトウェア部品表(SBOM)の利用については、「VI．サイバーセキュリティの透明性」の「A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項」、附表2の「B. アーキテクチャ・ビュー向けの情報の詳細」、「附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング」で取り上げている。

消費者IoTサイバーセキュリティラベリング制度も起点は米国大統領令

なお、前述の「国家サイバーセキュリティに関する大統領令第14028号」では、NISTに対し、消費者向けIoT機器およびソフトウェア開発プラクティスのサイバーセキュリティ機能に関する自主的なラベリングプログラムづくりに着手するよう指示していた。これを受けたNISTは、連邦取引委員会(FTC)と連携しながら、2022年2月4日、「消費者向けIoT製品のサイバーセキュリティラベリングに関する推奨基準」（https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.02042022-2.pdf）および「消費者向けソフトウェアのサイバーセキュリティラベリングに関する推奨基準」(https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.02042022-1.pdf)と題するホワイトペーパーを公表している。

「消費者向けIoT製品のサイバーセキュリティラベリングに関する推奨基準」は、以下のような構成になっている。

1．イントロダクション
1.1 背景
1.2 スキームとスキームオーナー
1.3 文書のスコープと目標
1.4 文書の構造
2．ベースライン製品基準
2.1 IoT製品のスコープ
2.2 推奨されるベースライン製品基準
2.3 推奨される基準に関連するIoT製品の脆弱性
2.4 リスク、仕立て、層化における考慮事項
2.5 既存の標準規格、プログラム、スキームの活用
2.6 ハーモナイゼーションの考慮事項
3．ラベルリングの考慮事項
3.1 推奨されるラベリングのアプローチ
3.2 ラベリングの表現
3.3 消費者教育
4．適合性評価の考慮事項
参考文献

　他方、「消費者向けソフトウェアのサイバーセキュリティラベリングに関する推奨基準」は、以下のような構成になっている。

1．イントロダクション
1.1 背景
1.2 文書のスコープと目標
1.3 ラベリングスキームとスキームオーナー
1.4 文書の構造
2．消費者ソフトウェアラベリング向けベースライン技術基準
2.1 手法
2.2 推奨される基準
3．ラベリング基準
3.1 バイナリラベリング
3.2 階層化アプローチ
4．適合性評価基準
参考文献
附表A – ラベリング基準の追加コンテキスト
附表B – 省略されたSSDFの例

これらの推奨基準策定作業に先立って、2021年7月12日、商務省傘下の国家電気通信情報庁（NTIA）が、大統領令第14028号を受けた「ソフトウェア部品表（SBOM）向けの最小要素」(https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom)を公表し、 2022年2月3日、NISTが、「SP 800-218 セキュアソフトウェア開発フレームワーク(SSDF)第1.1版」(https://csrc.nist.gov/pubs/sp/800/218/final)を公表している。SBOMやSSDFは、消費者向けIoT製品および消費者向けソフトウェア双方のサイバーセキュリティラベリング推奨基準の共通開発フレームワーク／コンポーネントとして組み込まれている。

その後大統領行政府は、2023年7月18日、消費者向けIoT製品および消費者向けソフトウェア向けのサイバーセキュリティラベリング制度を来年より正式に導入することを発表した(https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-harris-administration-announces-cybersecurity-labeling-program-for-smart-devices-to-protect-american-consumers/)。

連邦政府機関が急ピッチで進めるゼロトラストモデルの導入も、医療機器や消費者向けIoT製品・ソフトウェア向けサイバーセキュリティラベリング制度を支えるSBOMのいずれも、大統領令第14028号を起点としており、米国市場で事業を展開する医療機器企業やデジタルヘルス企業は、迅速な対応が求められている。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司