前編では、米国連邦政府主導で進む医療分野のゼロトラストモデル導入、サイバーセキュリティ大統領令を起点とする医療機器ライフサイクル管理へのソフトウェア部品表(SBOM)導入など、政策的な動向を紹介したが、後編では、具体的な技術的対策をめぐるCSAの取組や、最新の医療機器サイバーセキュリティ規制の動きを取り上げる。

CSAゼロトラスト成熟度モデルを医療機器管理に適用

2023年5月8日、クラウドセキュリティアライアンス（CSA）の健康医療情報管理ワーキンググループ／ゼロトラストワーキンググループ／SDPワーキンググループは、「ゼロトラストアーキテクチャにおける医療機器」(https://cloudsecurityalliance.org/artifacts/medical-devices-in-a-zero-trust-architecture/)を公開した。本文書の作成プロジェクトでは、医療産業の視点から健康医療情報管理ワーキンググループが執筆を担当し、ゼロトラストアーキテクチャの視点からゼロトラストワーキンググループ／SDPワーキンググループが成果物のレビュー作業を実施している。

参考までに、CSA本部のゼロトラストワーキンググループは、以下の9つの分科会(ZT Research Workstream)から構成されている。

1. 理念としてのゼロトラストと指導原則
2. ゼロトラストの組織的戦略とガバナンス
3. 柱(Pillar): アイデンティティ
4. 柱(Pillar): デバイス
5. 柱(Pillar): ネットワーク／環境
6. 柱(Pillar): アプリケーションとワークロード
7. 柱(Pillar): データ
8. 自動化、オーケストレーション、可視性、分析
9. ゼロトラストアーキテクチャ、実装、成熟度モデル

以下の通り、本文書は、ゼロトラストWG傘下の複数の分科会を横串にしたような構成になっている。

• 要約
• はじめに
• ゼロトラスト
• 医療機器管理プログラム
• アイデンティティ
• デバイス
• ネットワーク
• アプリケーション
• データ
• 結論
• 参考文献

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のゼロトラスト成熟度モデルや国防総省(DoD)のゼロトラストフレームワークに基づくCSAのゼロトラスト成熟度モデルを、ゼロトラスト環境下の医療提供組織(HDO)における医療機器管理(MDM)プログラムに適用しているのが特徴だ。

まず、医療機器管理プログラムを取り巻く背景について、以下のように整理している。

1. 医療提供組織の大半は大量の医療機器をかかえているため、手作業による医療機器管理は労働集約的になる
2. 医療提供組織は、ネットワークのマイクロセグメンテーション、ポリシーの強制、脆弱性の特定、エンドポイントの検知・対応を管理するためのツールを必要としている
3. 医療機器管理プログラムは、すべての機器の可視性や在庫(ロケーションを含む)を提供するために、必要とされる
4. プログラムは、有効な認可に係る意思決定向けの機器フィンガープリンティングを含むべきであ
5. 医療機器管理向けに利用可能な特定製品があり、その中には、脆弱性やリスクを得的できるものもある
6. 選定されたツールは、医療機器エコシステムに関する包括的な視点を提供すべきである

ゼロトラスト成熟度モデルからみたセキュアな医療機器管理策

その上で、CSAゼロトラスト成熟度モデルの5つの柱(1. アイデンティティ、2. デバイス、3. ネットワーク、4. アプリケーション、5. データ)からみた、医療提供組織がゼロトラスト環境の医療機器を管理する際の留意事項を、以下のように整理している。

[1. アイデンティティ]

1. アイデンティティは、ゼロトラストアーキテクチャ成熟度モデルの第一の柱である
2. 認証、アイデンティティストア、リスク評価は、アイデンティティ成熟度モデルの機能である
3. 医療提供組織は、適正なユーザーや機器が、適正な時間、適正なリソースへアクセスすることを保証しなければならない
4. 医療提供組織は、接続された機器を認証し、個々の機器が信頼されることを保証する必要がある
5. 医療機器の通信は、マシン・ツー・マシン(M2M)であり、認証および認可のために、マシンベースのプラクティスを必要とする
6. 医療提供組織は、環境下のすべての医療機器を発見し、分類し、棚卸しするために、信頼できる手法を必要とする

[2. デバイス]

1. ゼロトラストアーキテクチャ成熟度モデルの第二の柱は、デバイスである
2. 接続された医療機器は、患者と医療提供組織を危険に晒すセキュリティ問題を提示する
3. 医療提供組織は、完全で正確な機器の発見とリスク評価、最小のアクセスポリシー、継続的モニタリングで、機器のセキュリティ課題を処理する
4. 個々の機器のセキュリティポスチャ、ネットワーク状態、ロケーション、機器の稼働率のプロファイリングなど、包括的な可視性が必要である
5. 拡張型検知・対応(XDR)は、医療提供組織全体に渡る脅威の可視性を改善し、セキュリティオペレーションを加速して、リスクを低減することを可能にする
6. 動的セグメンテーションにより、適正なセキュリティポリシーの構築を可能にし、マイクロセグメンテーションとの意味のある統合により、デプロイメント前のバリデーションを実現する

[3. ネットワーク]

1. ゼロトラストアーキテクチャ成熟度モデルの第三の柱はネットワークであり、内部ネットワーク、無線、インターネットが含まれる
2. 医療提供組織は、暗黙の信頼の代わりに、ネットワークのセグメンテーションと保護をアプリケーションワークフローと連携させる必要がある
3. IEEE 802.1X標準規格は、ポートベースのアクセス制御と、固定系・無線系ネットワークのために利用される
4. 医療機器がセキュアな認証手法を利用できない場合、MACアドレスを利用してクライアント機器を認証するために、MAC認証バイパス(MAB)が利用される
5. マイクロセグメンテーションは、セキュアなゾーンを構築して、個々のワークロードを分離し、脅威の横方向の移動を防止する
6. 医療機器管理プログラムとセキュリティ監視・対応ソフトウェアを利用してすべての医療機器のトラフィックを監視するとともに、すべてのネットワークトラフィックを暗号化すべきである

[4. アプリケーション]

1. ゼロトラストアーキテクチャ成熟度モデルの第四の柱はアプリケーションであり、アクセスの認可、脅威の保護、アクセシビリティ、アプリケーションセキュリティの機能を担う
2. 医療提供組織は、適切なセキュリティのために、保護をアプリケーションワークフローと密に統合する必要がある
3. 必要な保護: アクセス前の認証、最小の特権アクセスモデル、マイクロセグメンテーション、継続的な検証／監視、データ暗号化
4. マイクロセグメンテーションは、付与された者だけがデータ閲覧のためにアクセス可能にするとともに、不正な横方向の移動を防止することによってリスクを低減する
5. 医療機器管理プログラムとXDRによる継続的なモニタリングが、以上を検知し、対応するために要求される
6. 転送時および保存時のデータ暗号化は、アプリケーションセキュリティに不可欠である

[5. データ]

1. 第五の柱はデータであり、在庫管理、アクセス決定、暗号化の機能を担う
2. 医療提供組織は、すべてのデータ資産のセキュリティ、特定、分類、棚卸しに対して、データ中心のアプローチをとるべきである
3. 医療機器は、転送時、保存時の双方で保護しなければならないような大容量の電子保護対象保健情報(ePHI)を生成する
4. ゼロトラスト環境では、機微なデータを特定して、すべてのデータフローがマッピングされ、すべてのストレージが特定されるようにしなければならない
5. ゼロトラストアーキテクチャ内で異常検知と機械学習を利用した予測分析により、すべてのアクセスの試みをログ付けし、異常行動または疑いのある活動のための試みを分析する
6. 医療提供組織は、機器制御、コンテンツ認識型制御、強制された暗号化、データディスカバリーを提供するデータ損失保護(DLP)ソリューションを実装すべきである

今後、医療現場のクラウド化、ゼロトラスト化が進展すると、アクセス制御、ポリシーデシジョンポイント(PDP)、マイクロセグメンテーション、拡張型検知・対応(XDR)、データ暗号化、データ損失保護(DLP)といったセキュリティソリューションの位置づけや使い所も変わっていく。

米国FDAの市販前医療機器サイバーセキュリティ指針とSBOMの関係

他方、医療機器規制の領域では、2023年9月27日、米国食品医薬品局（FDA）が、「医療機器のサイバーセキュリティ管理に関わる承認申請手続の内容 – 業界および食品医薬品局スタッフ向けガイダンス」(2014年10月2日公開)の改訂版となる「医療機器のサイバーセキュリティ：品質システムの考慮事項と承認申請手続の内容 – 業界および食品医薬品局スタッフ向けガイダンス」(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions)を公開した。

今回公開した改訂版ガイダンスは以下のような構成になっている。

Ⅰ. イントロダクション

Ⅱ. スコープ

Ⅲ. 背景

Ⅳ. 一般原則

1. サイバーセキュリティは機器の安全性および品質システム規制の一部である
2. セキュリティ向けの設計
3. 透明性
4. 申請の文書化

Ⅴ. SPDF(セキュア製品開発フレームワーク)を利用したサイバーセキュリティリスクマネジメント

1. セキュリティリスクマネジメント
2. 脅威モデリング
3. サイバーセキュリティリスク評価
4. 相互運用性の考慮事項
5. サードパーティ製ソフトウェアコンポーネント
6. 未解決の異常のセキュリティ評価
7. TPLCセキュリティリスク管理
8. セキュリティ・アーキテクチャ
9. セキュリティ制御の実装
10. セキュリティ・アーキテクチャのビュー
11. サイバーセキュリティ・テスト

VI．サイバーセキュリティの透明性

1. サイバーセキュリティリスクのある機器向けラベリングの推奨事項
2. サイバーセキュリティ管理計画

附表1. セキュリティ制御の分類および関連する推奨事項

附表2. セキュリティアーキテクチャ・フロー向けの申請の文書化

附表3. 臨床試験使用機器免除（IDE）向けの申請の文書化

附表4. 一般的な市販前申請文書化の要素とリスクによるスケーリング

附表5. 用語

• ソフトウェア部品表(SBOM)の観点からみていくと、FDAは、「Ⅴ. SPDFを利用したサイバーセキュリティリスクマネジメント」の「A. セキュリティリスクマネジメント」の中で、セキュリティリスクマネジメント計画および報告書に関連して、SBOMに言及している。
• 製造業者に対し、医療機器システム向けのセキュリティリスクマネジメント活動を文書化するために、セキュリティリスクマネジメント計画および報告書を作成するよう推奨する(「AAMI(米国医療機器振興協会) TIR57 医療機器セキュリティ向け原則 – リスクマネジメント」参照)( https://webstore.ansi.org/standards/aami/aamitir572016)。
• 製造業者は、機器の安全性や有効性を示すのに役立てるため市販前申請に、セキュリティリスクマネジメント報告書(セキュリティリスクマネジメントプロセスのアウトプットを含む)を含めるべきである。セキュリティリスクマネジメント報告書は、安全性や有効性に関して合理性のある保証を示すというセキュリティリスクマネジメントプロセスをサポートするのに十分であるべきである。
• この報告書には、システム脅威モデリング、サイバーセキュリティリスク評価、コンポーネントのサポート情報、脆弱性評価、未解決の異常評価が含まれるべきである。
• 上記の文書化要素を含めることに加えて、セキュリティリスクマネジメント報告書は、以下のようにすべきである。
  • リスク評価手法およびプロセスを要約する
  • セキュリティリスク評価からの残存リスクの結論を詳述する
  • 製造業者のリスクマネジメントプロセスの一部としてとったリスク低減活動を詳述する
  • 脅威モデル、サイバーセキュリティリスク評価、SBOM、テスト文書の間のトレーサビリティを提供する

またFDAは、「A. セキュリティリスクマネジメント」の「4. サードパーティ製ソフトウェアコンポーネント」向けのツールとしてSBOMを挙げている。特にSBOMは、サプライチェーンリスク管理や、機器に組込まれたソフトウェアの特定および追跡の際に役立つツールであり、その概要および文書化に関して、以下のように記述している。

(a)ソフトウェア部品表(SBOM)

・SBOMは、ソフトウェアスタックを通して存在するサイバーセキュリティ管理で支援することができる。堅牢なSBOMには、製造業者が開発したコンポーネントとサードパーティ製コンポーネント(例.購入した／ライセンスされたソフトウェアおよびオープンソースソフトウェア)がある。

・SBOMは、ソフトウェアコンポーネントの脆弱性による影響を受ける可能性がある稼働中の機器やシステムを特定するメカニズムを提供することによって、リスク管理プロセスを容易化するのに役立つ。

・脆弱性管理は、機器のセキュリティリスクマネジメントプロセスの重要な一部なので、SBOMまたは同等の機能は、機器の構成管理の一部として維持されるべきであり、上市された機器におけるソフトウェアの変更を反映して定期的にアップデートされ、文書化されるべきである（例. 21 CFR 820.30(j) (設計履歴ファイル)や820.181 (機器マスター記録)で詳述したタイプ）。

・FDAがサイバーセキュリティに関連する安全性および有効性について、機器のリスクおよび関連するインパクトを評価する際に役立てるために、FDAは、市販前申請にSBOM文書化を含めるよう推奨する。サイバー機器の場合、SBOMが要求される(連邦食品・医薬品・化粧品法第524B(b)(3)条参照)。またSBOMは、ラベリング制度の一部として潜在的リスクのあるユーザーに対する透明性のための重要なツールとなり得る。

(b)ソフトウェア部品表をサポートする文書化

・FDAの「医療機器における汎用(OTS)ソフトウェア使用」(2023年8月)(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices)や、「汎用(OTS)ソフトウェアを含むネットワーク医療機器向けサイバーセキュリティ」(2005年1月)(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networked-medical-devices-containing-shelf-ots-software)のガイダンス文書では、製造業者がソフトウェアライフサイクルの完全な制御を主張できないソフトウェアコンポーネント向けの市販前申請において提供されるべき情報について説明している。

・製造業者は、これらのガイダンスの推奨情報に加えて、国家電気通信情報局(NTIA) の「ソフトウェアコンポーネントの透明性の枠組: 共通ソフトウェア部品表(SBOM)の確立」(2021年10月)( https://www.ntia.gov/sites/default/files/publications/ntia_sbom_framing_2nd_edition_20211021_0.pdf) で特定された最小要素(ベースライン属性)と一貫性のある機械判読可能なSBOMを提供すべきである。

・製造業者は、NTIAの最小要素に加えて、SBOMに含まれる個々のソフトウェアコンポーネントについて、以下の情報を市販前申請に含めるべきである。

-ソフトウェアコンポーネント製造業者からのモニタリングやメンテナンスを通じて提供されるソフトウェアのサポートレベル

-ソフトウェアコンポーネントのサポート終了日

・製造業者がSBOM情報をFDAに提供できない場合、製造業者は、その情報を市販前申請に含めることができない理由の根拠を提供すべきである。

・市販前申請の一部として、製造業者は、機器およびソフトウェアコンポーネントに関連するすべての既知の脆弱性(例.CISAの既知の悪用された脆弱性(KEV)カタログで特定された脆弱性)を特定すべきである。製造業者は、個々の既知の脆弱性について、評価手法が十分堅牢であったかどうかを示すために、脆弱性が発見された方法を記述すべきである。

・製造業者は、既知の脆弱性があるコンポーネントに関して、市販前申請時に以下のような情報を提供しなければならない

-個々の既知の脆弱性に関する安全性およびセキュリティリスク評価(機器およびシステムのインパクトを含む)

-脆弱性を処理するために適用可能な安全性およびセキュリティリスクのコントロール。リスクコントロールが補完的コントロールを含む場合、適切なレベルの詳細まで記述すべきである。

SBOMは医療機器のセキュリティラベリングをサポートするツール

またFDAは、サイバーセキュリティリスクのある医療機器のラベル表示をサポートするツールとして、SBOMを掲げている。たとえば、「VI．サイバーセキュリティの透明性」の「A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項」では、連邦食品・医薬品・化粧品法第502(f)条で要求される適正な使用方法を含んだラベリングや、同法第502(a)(1)条に従ってラベリングが特に虚偽または誤解を招く場合に医療機器が不正表示とみなされるケースなどを例示した上で、以下のように、ラベリングの利点を整理している。

・サイバーセキュリティリスクのある機器については、ユーザーに対する重要な情報の告知が、このようなリスクに関わるラベリング要求事項を遵守する有効な方法となり得る。
・ラベリングを通じてセキュリティ情報をユーザーに告知することは、重要な設計・開発活動であり、サイバーセキュリティリスクを低減して、機器の継続的な安全性と有効性を保証するのに役立つ。
・製造業者は、市販前申請に含まれるラベリングの原案を作成する際に、すべての適用可能なラベリング要求事項や、ラベリングを通じたユーザーへの告知が、サイバーセキュリティリスクを管理し、機器の安全で有効な使用を保証するために有効な手法となるよう考慮すべきである。
・ユーザーに移転されたあらゆるリスクについて詳述し、ユーザビリティテスト中のタスクに含めるよう考慮して、ユーザーのタイプがこれらのリスクを管理するために適正な行動をとる能力があることを保証するようにすべきである。

さらに、「VI．サイバーセキュリティの透明性」の「A. サイバーセキュリティリスクのある機器向けラベリングの推奨事項」において、SBOMの有効活用を含む様々な対策を推奨している。

・意図する使用環境にとって適切な推奨されたサイバーセキュリティの制御に関連した機器の指示および製品仕様(例. マルウェア対策ソフトウェア、ファイアウォールの使用、パスワードの要求事項)。
ユーザーによる推奨されたサイバーセキュリティ制御の実装を可能にするのに十分な詳細なダイアグラム。
・データの送受信が見込まれるネットワークポートおよびその他のインタフェースの一覧表。このリストにはポート機能の説明が含まれ、認可された目的地のエンドポイントに従って、ポートが受信、送信または双方かが示される。
・機器が意図した通り稼働できるようなインフラストラクチャ要求事項のサポートに関するユーザー向けの特別なガイダンス(例. 最小限のネットワーク要求事項、サポートされた暗号化インタフェース)。必要な場合、このガイダンスには、セキュアなネットワーク展開とサービス提供を認める技術的指示と、サイバーセキュリティ脆弱性またはインシデントの検知に対応する方法に関するユーザー向けの指示が含まれる。
・「Ⅴ. SPDFを利用したサイバーセキュリティリスクマネジメント」の「A. セキュリティリスクマネジメント」の「4. サードパーティ製ソフトウェアコンポーネント」で指定された、または業界が受け入れたフォーマットに従ったSBOMにより、医療機器システムに対して特定された脆弱性の潜在的インパクトを理解し、機器の安全性と有効性を維持するための対策を導入する。製造業者は、ユーザーに対して、SBOM情報を継続的に提供するか、利用可能にすべきである。オンラインポータルを利用する場合、製造業者は、ユーザーが正確な情報を含む最新のリンクを有することを保証すべきである。SBOMは、機械判読可能なフォーマットにすべきである。
・ソフトウェアが利用可能な時にユーザーが知る方法の説明など、バージョン識別が可能な製造業者認可済バージョンのソフトウェアやファームウェアを、ユーザーがダウンロードするためのシステマチックな手順に関する説明。
・設計が、異常な状態を検知した時(例. セキュリティイベント)に機器が対応できるようにする方法の説明。これには、ユーザーに対する通知と重要な情報のロギングが含まれるべきである。セキュリティイベントのタイプは、構成の変更、ネットワークの異常、ログインの試み、異常なトラフィック(例.未知のエンティティに対するリクエストの送信)となる可能性がある。
・重要な機能(例.バックアップモード、ポート／通信の無効化)を保護する機器機能のハイレベルの説明。
・認証された構成を復元するためのバックアップ・復元機能と手順の説明。
・認証・認可されたユーザーによる機器構成の保持と復旧のための方法の説明。
・医療機器システムに対するセキュリティリスクを拡大する可能性があるような、出荷した機器のセキュアな構成、ユーザーが構成可能な変更のための指示、ユーザーが構成可能な変更の特定。セキュアな構成には、マルウェア対策、ファイアウォール／ファイアウォールのルール、許可リスト、不許可リスト、セキュリティイベント・パラメータ、ロギング・パラメータ、物理的セキュリティ検知など、エンドポイントの保護と、それらの周辺の資格情報の再設定が含まれる可能性がある。
・意図した使用環境にとって適切な場所における、セキュリティイベント向けに保持するログファイルなど、フォレンジックのエビデンスをキャプチャする方法に関する説明。ログファイルの説明には、いつ、どこで、どのようなフォーマットで、ログファイルを配置、保存、再利用、アーカイブ化すべきか、またどのようにして、自動分析ソフトウェア(例. 侵入検知(IDS)、セキュリティ情報・イベント管理(SIEM))を利用できるようにするかが含まれるべきである。
・機器セキュリティ(コンポーネントを含む)のサポート終了やライフサイクル終了に関して、既知または予測された情報。サポート終了時、製造業者は、セキュリティパッチやソフトウェア・アップデートを十分提供できない場合がある。サポート終了後のサービスで機器が維持される場合、製造業者は、エンドユーザーにとってのサイバーセキュリティリスクが時間とともに拡大すると想定されるところに焦点を当てたリスク移転のプロセスを、事前に設定し、あらかじめ伝達しておく必要がある。
・機微、機密で、独自のデータ・ソフトウェア製品の無害化により、セキュアに機器を廃止することに関する情報。

なお、医療機器に該当しない一般消費者向けIoT機器／ソフトウェアについては、連邦通信委員会(FCC)が、サイバーセキュリティラベリング制度の導入に向けた準備作業を行っており (https://www.fcc.gov/document/fcc-proposes-cybersecurity-labeling-program-smart-device) 、そこでもSBOMが重要な役割を担っている。日本でも、経済産業省の産業サイバーセキュリティ研究会のワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)が、制度的な仕組みづくりに関する議論を行っており、日米の対応動向が注目される。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司