FDAの2023年9月の市販前サイバーセキュリティガイダンス:詳細
本記事は CYBELLUM社執筆のブログ記事を日本語訳したものです。
いかなる場合も原文が優先されます。
進化し続ける医療機器サイバーセキュリティの状況において、他の文書よりも優れているものの1つに、FDAが新たに発表した2023年の市販前サイバーセキュリティガイダンスがあります。
現状維持から方向転換し、このガイダンスは他の連邦機関と足並みをそろえ、医療機器のメーカーとサプライヤーに、機器の安全性と患者への情報提供のためにより多くの責任を課すことを要求します。また、品質とセキュリティをさらに絡み合わせ、脆弱性を軽減するよりも排除し、相互運用性を確保し、CISAの既知の脆弱性データベースなど他の機関が提供するリソースを利用することを強く提案します。
これまではFDAの2022年4月のPMAガイドラインがデバイスのFDAへの市場承認準備のための信頼できる情報源でした。2023年9月にそのドキュメントが変更されました。
2022年4月のドラフトからほとんど変わりませんが、製品セキュリティチームが注意すべき5つの変更点を概説します。
違い#1:軽減するのではなく排除する
ガイダンスは現在、医療機器メーカーが「既知の脆弱性を排除または軽減する」ように製品を設計する必要があることを強調しています。この微妙ではあるが重要な文言の変更は、企業がどのコンポーネントを使用するかを検討し、メリットとそれがもたらす脆弱性を比較検討する必要があることを意味すると考えています。単に脆弱性を軽減することからのこのシフトは、 タイプ1、ソフトウェア部品表(SBOM)の「設計」をまとめたCISAのアプローチに沿ったものです。目標は、ソースの脆弱性を特定して根絶し、安全性に乏しいコンポーネントによってもたらされるリスクを軽減することです。
これが重要な理由
- 排除に重点を置いたこの新たなアプローチは、サイバーセキュリティへの積極的なアプローチを促進します。
- 開発の初期段階からコンポーネントレベルで脆弱性を評価することの重要性を強調しています。
違い#2:相互運用性
相互運用性はまったく新しいセクションで、現場で発生する可能性のある周辺のサイバーセキュリティ課題について企業が検討することを要求します。新しいデバイスと既存のデバイスとの間の基本的な通信方法もその一つです。
このガイダンスでは、医療機器における相互運用性の重要性が高まっていることを認識しており、デバイスが他の医療機器、医療インフラストラクチャ、または汎用コンピューティングプラットフォームと相互作用する際のサイバーセキュリティに関する潜在的な考慮事項に注意を向けます。デバイスの安全性と有効性を確保しながら、一般的なテクノロジーと通信プロトコルのセキュリティ制御を評価する必要性を強調しています。
医療機器システムの一部として、デバイスにはサイバーセキュリティに関する以下考慮事項があります。
相互運用可能な機能 (以下とのインタフェースを含むがこれらに限定されない)• その他の医療機器および付属品
• FDAの市販前サイバーセキュリティガイダンス『多機能デバイス製品:ポリシーと考慮事項』で特定されている「その他の機能」
• 医療インフラ(ネットワーク、電子カルテ、医用画像システムなど)との相互運用性
• 汎用コンピューティングプラットフォーム
また、以下が追加されています。
相互運用性を実現するために共通の技術と通信プロトコル(Bluetooth、Bluetooth Low Energy、ネットワークプロトコルなど)を使用する場合、デバイスメーカーは、デバイスの安全性と有効性を確保するために、そのような通信の下に追加のセキュリティ制御が必要かどうかを評価する必要があります(たとえば、Bluetooth Low Energyプロトコルやそのサポート技術に脆弱性が発見された場合、リスクから保護するためにBluetooth Low Energyの下に追加のセキュリティ制御が必要かどうか)。
これが重要な理由
- これは、古いデバイスと新しいデバイス間の相互運用性構成により、新しい攻撃対象領域が導入される可能性があることを認めています。
- コンポーネントの相互運用性をテストし、必要に応じてセキュリティ層を追加する必要があります。
違い#3:ソースコード入手に関する寛大な対応
2023年のガイダンスではソースコードの入手に関してデバイスメーカーはより柔軟な対応が可能となりました。以前のバージョンではソースコードの保管管理が提唱されていましたが、新しいガイダンスでは、メーカーがライセンス制限やサプライヤー契約に関連する課題に直面する可能性があることを認識しています。さらに、メーカーはサードパーティ製ソフトウェアコンポーネントを更新または交換する計画を含めることが現在推奨されています。
メーカーは、ライセンスの制限、サプライヤー契約の条件、またはその他の課題のためにソースコードを管理できない場合があります。市販前申請でソースコードを提供する必要はありませんが、メーカーは、サポートが終了したり、その他のソフトウェアの問題が発生した場合サードパーティ製ソフトウェアコンポーネントを更新または交換する方法について計画を市販前申請に含める必要があります。
これが重要な理由
- ホワイトハウスのサイバーセキュリティ戦略に沿って、ベンダーに説明責任を負わせるというFDAの取り組みを反映しています。
- ソースコードの管理においてメーカーが直面する現実世界の課題に適応しています。
違い #4: CISAの既知の脆弱性カタログ
メーカーは現在、CISAの既知の悪用された脆弱性カタログにリストされている脆弱性を含め、自社のデバイスに関連するすべての既知の脆弱性を特定することが求められています。これは、アメリカのインフラの安全性を高めるという共通の目標に向かって取り組んでいる連邦機関間のコミュニケーションが強化されていることを示しています。
市販前申請の一環として、メーカーはCISAの既知の悪用された脆弱性カタログで特定されたものを含め、デバイスおよびソフトウェアコンポーネントに関連するすべての既知の脆弱性も特定する必要があります。
これが重要な理由
- 比較のための特定のカタログを提供します。
- 脆弱性評価ではすべての既知の脆弱性が対象です。
- ベースラインとしてCISAカタログを参照することの重要性を強調します。
違い #5: セキュリティと品質の更なる融合
ガイダンスでは、サイバーセキュリティ管理計画が品質システム (QS) 規制で説明されているセキュリティリスク管理プロセスをサポートできると述べることで、セキュリティと品質のつながりを強調しています。サイバーセキュリティに関するQS規制を満たすために、安全な製品開発フレームワーク(SPDF)の使用も提案しており、脅威モデリングとレジリエンスの観点で求められるものを詳細に分析することにつながります。これらはすべて、品質をより優れたものにするための一環として行われます。 文書では以下のように述べられています。
安全な製品開発フレームワーク(SPDF)は、QS規制を満たす1つの方法である可能性があります
これが重要な理由
- 製品のセキュリティと製品の品質を一致させます。
- さまざまな業界で、安全性とセキュリティの考慮事項を結び付ける傾向が高まっていることを反映しています。
- 規制が負担として認識されているという業界の懸念に対処しています。
2023年の市販前ガイダンスはエコシステムにとって何を意味しますか?
多くの製品セキュリティの専門家にとって、これらの変更は警鐘を鳴らすものではなく、安心感をもたらします。
やるべきことはありますが、これらのガイドラインはベースラインが何であるかについてより明確なガイダンスを提供します。すでに1箇所で集中的にSBOMを管理し、脆弱性の検出と優先順位付けのアクティビティを自動化している企業の場合、実装した内容をベンチマークと照らし合わせて確認できます。
より成熟した製品セキュリティ運用に向けて旅の途上である人にとっては、このベンチマークは機会を提供します。ツールのパッチワークではなく1箇所で運用を再調整できるため、製品セキュリティの旅全体を調和的かつ自動的に実行できます。これによりチームは、エンドユーザーとのコミュニケーションを強化し、製品セキュリティを高め、品質を確保し、相互運用性機能をチェックし、デバイスのライフサイクル全体を管理できます。
※引用部分は FDAのガイダンスより抜粋
Cybellum
リンク
技術本部 アプリケーションサービス技術部石井 純子
検証チームには10年近く在籍しており、技術サポート全般を担当しております。
最近なぜかメガネが曇りがちで困っています。
