IoT/医療機器向けSBOM活用と脆弱性管理って!?
アップデートしましてWebinarの進行役もこなせるようになった営業担当の谷です。
Cybellumの問い合わせが多くなったなぁと感じていましたが、医療機器に関する規制が背景にありました。
2023年6月に「IoT/医療機器向けWebinar」を開催しまして、多くの方にご参加いただきました。
ご視聴をいただきました皆様へ厚く御礼申し上げます。
ということで、今回はWebinarのご報告です。
医療は規制が厳しい
規制が…という話ですが、医療機器は規制が厳しい。
2023年3月に米国政府機関のFDAが、機器やシステムの市販前事前申請についてガイダンスを出しています。
脆弱性などのセキュリティー監視に関して市販後の計画も申請に含めるように書かれていまして、申請の受理についても2023年10月1日前の申請については協議するとしていますが、その後は受理を拒否する可能性があるとのこと。
また、IMDRF(国際医療機器規制当局フォーラム)からは「医療機器サイバーセキュリティの原則及び実践」(IMDRF/CYBER WG/N73FINAL:2023、2023年4月)がアップされ、SBOM の概要、SBOM の生成や利用について公開されています。
国内では、厚生労働省が「医療機器の基本要件基準第 12 条第3項の適合性の確認について」(2023年5月)を発行しています。
要求事項に「構成管理プロセスは、当該医療機器のソフトウェア部品表(SBOM)を適切に作成することによって確認すること。」と明記されています。
書面に「令和6年4月1日までの間、なお従前の例によることができる」と経過措置期間が設定されていますので、医療機器では国内外ともに期限が付いた状況でした。
海外企業って…調査結果では
Cybellum社から出されている資料も追加で紹介しました。
2022年になりますが、医療機器メーカーのデバイスセキュリティーについて11か国150 人に対して独立系調査会社が実施した調査結果です。
この資料は26ページありまして「規制、基準、ガイドラインへの対応状況と今後の予定」「前年対比でのセキュリティー予算の推移」「対策予算を増やす要因」などのトピックスが含まれています。少し前の情報になりますが、海外の実情が垣間見える資料です。
ご興味のある方は、こちらからダウンロードできます。
ホワイトペーパー 医療機器のサイバーセキュリティ:トレンドと予測
IoTデバイスも
IoTなどのデバイスでは、欧州委員会の「EUサイバーレジリエンス法」の草案(2022年9月)が発表されています。
SBOMの提出が義務化されるだけでなく、脆弱性が判明してから24時間以内に欧州ネットワーク・情報セキュリティー機関(ENISA)への報告義務が含まれています。現在は草案が出た段階ですが、2025年後半に施行の予定とされています。
これに先立って発表された「無線機器指令(RED)のサイバーセキュリティに関連する、第3条3項(d)(セキュリティー施行」(2022年1月)では、直接/間接的にインターネット上に接続して通信するデバイスに対してのセキュリティー保護などが2024年8月1日に義務化されます。
SBOM作ったら終わりではなかった…管理が必要です
国内外でガイダンスなどが発表されSBOMが義務化されてきていますが、同時にリリース後の管理に対しても要求されていることがわかります。
今回のWebinarでは、Cybellumの脆弱性に関する管理機能についても画面をご覧いただきながら紹介しました。
その他、規格に対する検証・レポート機能、発見された脆弱性について対処の必要性の判断や優先度付けを自動的に行ってくれるトリアージ機能についても簡単ですがご紹介することができました。
また、QAコーナーでは「バイナリーからSBOMできますか?」というご質問をいただきましたが、「バイナリーをそのままチェックしていますので、入っているものがリスト化されて出てきます。」と詳しい担当者から回答させていただいています。
今回は、規制に関する側面からの切り口でした。
最近はAIというワードをよく聞くようになり、情報を駆使して高度な支援を行ってくれるサービスが増えてきています。
ネットワーク化されるとルーターなどの脆弱性からマルウェアに感染してしまい、病院や工場が停止したニュースもありました。
今回のWebinarがお役に立てれば幸いです。Cybellumの詳細は こちら へ。
※()カッコ内の日付は、対象となっている文章などが発行された日付です。