医療機器へのサイバー攻撃、その対策手法

未知の脆弱性を発見するファジングテストツール「SecDevice」

セキュリティに関連するソフトウェアシステム試験としては、IEC 81001-5-1箇条5「ソフトウェア開発プロセス」の中の5.7にセキュリティ要求事項試験、脅威軽減試験、脆弱性試験、侵入試験といったものを規定して説明されています。
SecDeviceは自動環境検出、ドッキング、およびテスト機能を搭載。既知の脆弱性テストはもちろん、ファジングテスト、Web セキュリティテストなどの機能を備え、既知・未知の脆弱性を自動的にすばやく検出可能です。
医療業界で使われているDICOMやHL7といったプロトコルにも対応可能なファジングツールとなっています。

「SecDevice」の詳細はこちらをご参照ください。

SBOM・OSSリスク管理ツール「SecSAM」

IEC 81001-5-1の箇条8にある構成管理プロセスについては、JIS T 2304に規定する通り、一般的な構成管理プロセスを確立することになっています。
特にセキュリティに関連する要求事項として、脆弱性が影響する可能性がある外部コンポーネントについては、すでにリリースしたもの、あるいは市場にあるヘルスソフトウェアに対してもそのコンポーネントのリストを作成できるようにしておくという要求があります。
これはSBOMソフトウェア部品表が作成できるように構成管理を行う必要があるということです。
ソフトウェアを校正するさまざまなコンポーネントには、サードパーティベンダーからのコンポーネントも含まれます。
これらのデータを集めて管理するためにSBOM管理ツールの活用が有効です。

「SecSAM」の詳細はこちらをご参照ください。