- お役立ちコラム
医療機器へのサイバー攻撃、その対策手法
2022年、医療業界のサイバー攻撃件数は週平均1,426件とサイバー攻撃全体の標的にされた業界から見てもトップ3に入る数値です。この状況から国内では医療分野におけるセキュリティ規制が相次いで発出され、2023年4月1日に医療機器基本要件基準が改定されました。
これにより、医療機器もサイバーセキュリティへの対応が必須となっています。セキュリティ対策のためには、IEC 81001-5-1に準拠することが要求されています。
未知の脆弱性を発見するファジングテストツール「SecDevice」
セキュリティに関連するソフトウェアシステム試験としては、IEC 81001-5-1箇条5「ソフトウェア開発プロセス」の中の5.7にセキュリティ要求事項試験、脅威軽減試験、脆弱性試験、侵入試験といったものを規定して説明されています。
SecDeviceは自動環境検出、ドッキング、およびテスト機能を搭載。既知の脆弱性テストはもちろん、ファジングテスト、Web セキュリティテストなどの機能を備え、既知・未知の脆弱性を自動的にすばやく検出可能です。
医療業界で使われているDICOMやHL7といったプロトコルにも対応可能なファジングツールとなっています。
「SecDevice」の詳細はこちらをご参照ください。
SBOM・OSSリスク管理ツール「SecSAM」
IEC 81001-5-1の箇条8にある構成管理プロセスについては、JIS T 2304に規定する通り、一般的な構成管理プロセスを確立することになっています。
特にセキュリティに関連する要求事項として、脆弱性が影響する可能性がある外部コンポーネントについては、すでにリリースしたもの、あるいは市場にあるヘルスソフトウェアに対してもそのコンポーネントのリストを作成できるようにしておくという要求があります。
これはSBOMソフトウェア部品表が作成できるように構成管理を行う必要があるということです。
ソフトウェアを校正するさまざまなコンポーネントには、サードパーティベンダーからのコンポーネントも含まれます。
これらのデータを集めて管理するためにSBOM管理ツールの活用が有効です。
「SecSAM」の詳細はこちらをご参照ください。
お電話でのお問い合わせ(受付時間:平日9:00-17:45)
Webからのお問い合わせ