MASTERCONTROL NEWS
コラム
2021-09-24
テクノロジーは、医療機器メーカーにとって諸刃の剣となる可能性があります。患者様の生活の質を向上させる目的で利用されていても、サイバーセキュリティーが悪意のある者に利用された場合、患者様や医療機器を使用している組織に危害を加えたり、医療機器自体を弱体化させる危険性があるからです。
また、医療機器が必要とする相互接続性は、公衆衛生の観点における攻撃の対象を拡大しており、サイバーセキュリティー上の弱点が存在している場合、侵入や侵害といった攻撃が可能となります。医療機器が市場へ出荷される前に、特定できていないまたは改善されていなかった脆弱性は、、医療機関のネットワークに侵入する為のアクセスポイントとなり、データの機密性や完全性、そして、患者様の安全性が損なわれる危険性があります。
その為、医療機器の設計段階でセキュリティーに関する要件を含める必要があります。しかし、サイバーセキュリティーに関する脆弱性の多くは、設計段階における判断や明確な要件の欠如に起因しています。その為、当該分野に精通した専門家が、機器の要件やアーキテクチャーを確認し、セキュリティーにおける脆弱性を特定して、製造に移る前の開発段階にて問題を緩和する必要があります。
サイバーセキュリティーに対するリスク管理として、最も強力なカテゴリーに分類されるのがSecure by Design(セキュア・バイ・デザイン)の原則に基づいた脆弱性対策です。次に上位に分類されるのは、セキュリティー上の脅威に対する検知や対応、復旧を行い、リスクが顕在化しないようにするリスク保護システムであり、下位に分類されるのがラベル表示や説明書になります。この3つは、医療機器に対するサイバーセキュリティーのリスクを管理する為に使用可能なカテゴリーです。
設計段階における効果的なセキュリティー対策は、医療機器やデータ、ユーザーの安全性とセキュリティーの維持に密接に関係しており、この分野に対する知識や経験に大きく依存しています。現代の医療機器において、この段階における開発の複雑性の要因の一つがインフラの多様性です。プログラミング言語やOS(オペレーティング システム)、データベース、ネットワーク、ハードウェアなど、様々な要素が医療機器に関係しており、そのような要素を組み合わせて設計から開発、製造、設定等が実施されています。そして、これは脆弱性が至る所に発生する危険性があることを示しています。
また、旧OSのサポート切れも、脆弱性の原因となる理由の一つです。この場合、医療機関はアクセス制限を実施し、医療機器が接続されているネットワーク上の脅威を監視することで、この脆弱性を軽減することができます。
完全に安全といえる医療機器を開発することは不可能ですが、製品開発やサプライチェーンの可視化を行い、計画的な設計を行うことで、セキュリティー対策を強化することは可能です。また、医療機器のライフサイクルを通じて、サイバーセキュリティーの監視や維持を行うことも重要です。そして、新たな脆弱性が発見された際にはパッチやアップデートを提供することも重要であり、たとえ現在は影響を受けていなくても、将来までは安全であると言い切ることは出来ません。下記では、製品のライフサイクルを通じてセキュリティー対策の重点を置くべき分野について、ご説明いたします。
IMDRF(国際医療機器規制当局フォーラム)
IMDRFは、「Principles and Practices for Medical Device Cybersecurity(医療機器サイバーセキュリティーの原則と実践)」というガイダンスにて、製品のライフサイクルにおいて、関係する全ての方々がサイバーセキュリティーのリスクを最低限に抑える為の推奨事項を発表しました。このガイダンスでは、医療機器のサイバーセキュリティーの責任は、医療機器メーカーや医療従事者、ユーザー、規制当局の全てで共有されるべきものであると規定しています。また、お互いの利害関係を理解し協力し、潜在的なサイバーセキュリティーのリスクを継続的に監視や評価、対応、連絡すべきであると記載されています。*¹
TIR(Technical Information Report)57とTIR97
TIR57とTIR97も医療機器のサイバーセキュリティーに関する基準です。AAMI(Association for the Advancement of Medical Instruments)により「医療機器セキュリティーリスクマネジメントの原則」というガイダンスにて発行され、医療機器の開発全体に対してサイバーセキュリティーのリスク管理を適用する上での推奨事項が規定されています。また、TIR57は、医療機器に対するリスク管理の原則やプロセス、用語を規定した安全性リスク管理であるISO14971をモデルとしています。
また、TIR57は、ANSI/AAMI/ISO14971にて定義されているリスクマネジメントの枠組みとして、市販後のセキュリティーリスクマネジメントに向けたガイダンスであるTIR97とも連携しています。TIR97は、TIR57にて確立される基礎を発展し、製品のライフサイクルの中で市販後の段階におけるセキュリティーリスク管理の確立に焦点を当てています。
電子化の推進における医療機器の保護の必要性の観点から、FDAも認知した規格としてTIR57をコンセンサス規格に追加しました。そして、TIR57を導入した全ての医療機器メーカーに対して、市販後の報告等に必要な情報が適切に運用・管理されていることが期待されています。*²
NIST:重要インフラのサイバーセキュリティー対策を改善する為のフレームワーク
NIST(米国国立標準技術研究所)は、サイエンスやビジネス、テクノロジー、経済安全保障の強化を目的としたイノベーションを推進する米国商務省の機関であり、企業のインフラのセキュリティー改善を目的としたガイドライン「重要インフラのサイバーセキュリティー対策を改善する為のフレームワーク」を発行しました。
このフレームワークは、特定のサイバーセキュリティーの種類やレベルを対象とはしていない為、全ての企業に適用可能な構成となっています。また、この内容は、既存のセキュリティー対策を入れ替えるものではなく、現在の対策状況を確認し、サイバーセキュリティー対策の目標を設定し、その実現に向けた計画の策定を目的としています。*³
OWASP(Open Web Application Security Project)
OWASPは、ソフトウェアのセキュリティー向上を目的とした非営利団体です。同組織が発行しているOWASP Top 10という文書には、最も重大なリスク(トップ10)と位置付けられるランキング及び対応内容が記載されており、ウェブアプリケーションにとって脅威となるセキュリティーリスクの最新情報も掲載されています。企業は、セキュリティー対策の一環として、OWASPの調査結果や推奨事項を組み入れることが可能であり、最新のテクノロジーに継続して対応する為、この一覧も定期的に更新されています。*⁴
サイバーセキュリティーに関するFDAの推奨事項
FDAは、市販前の申請にガイダンスの中で、信頼できる医療機器の定義として次の内容を規定しています。
FDAのQSR(品質システム規則)は、医療機器向けソフトウェアを開発する企業に対して、設計及び開発にリスクベース手法を採用することを求めており、この内容には適切なサイバーセキュリティー対策も含まれています。また、この手法の採用を通じて次の内容を医療機器メーカーに対して推奨しています。
このように、設計段階で適切な管理を実施することで、申請段階で求められる法的要件への対応に向け、より効果的に推進することができます。*⁵
現在、存在しているサイバーセキュリティーの脅威に対して、より効果的に対処するには、インフラやコミュニケーション、ポリシーの策定に関わる全ての担当者の責任を明確化する必要があり、その為には、同分野の専門家や規制当局等と連携し、企業全体で統一された取り組みを推進する必要があります。その為には、設計管理やリスク管理、変更管理、委託先管理など、関連する全ての業務やデータを統合して運用する枠組みが必要であり、共通のプラットフォームを活用することで、より効率的に管理することができます。そして、設計や開発、市販後などライフサイクルの全ての工程を通じて医療機器の変革を推進することができるのです。
参照
著者のご紹介
Sayed Khorashasi
Regulatory Compliance Associates社の医療機器分野のVP兼CTOのSeyed Khorashasi氏は、安全性が求められる医療機器のR&Dの責任者として、25年以上、ご活躍されています。Khorashasi氏は、コビディアン社(メドトロニック社)やバクスター社、ベックマンコールター社にて、製品開発や品質システム、薬事等の経験を有しており、エンジニアリングや事業戦略も専門としています。また、FDAやEUの法規制、医療機器向けのソフトウェア及びハードウェアに関しても専門知識を有しています。
本投稿は、英語の文献を元に翻訳または抄訳及び校正を行っており、本サイトに掲載されている全ての情報や画像の著作権は、当社(マスターコントロール株式会社)に帰属します(他社提供のクレジット表記入り画像等を除く)。コンテンツの再発行及び再配布は、個人利用の場合を除き、当社より許可を得た場合のみ可能です。また、本ブログを含む当社のWebコンテンツを利用することで発生する損害やトラブルについて、当社は一切の責任を負いません。