JIS T 81001-5-1:2023に基づくサイバーセキュリティ対応の設計開発プロセス
令和 5年 3月 31日付、厚生労働省告示第67号、運用通知:医療機器の基本要件基準第12条第3項の適用について通知(薬生機審発0331第8号)が発出され、基本要件基準にサイバーセキュリティの要件が追加されました。
適用開始は令和5年4月1日、経過措置期限は令和6年3月31日、経過期間は1年間であり、令和5年4月1日より完全な対応が求められます。 本告示の公示に伴い、3月31日付、手引書(第2版):医療機器のサイバーセキュリティ導入に関する手引書の改訂について(令和5年3月31日付 薬生機審発0331第11 号/薬生安発0331第4号)が発出されました。
ご要望に応じて以下の項目に合わせたお見積り、申請支援、業務委託、製品化支援を対応いたします。
SBOMの作成
SBOM(Software Bill Of Materials:ソフトウェア部品表)とは、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストです。 多くの製品にはOSS(オープンソースソフトウェア)が組み込まれており、そのOSSにおいてもさまざまな脆弱性が存在します。システムに潜む脆弱性リスクを管理するために、SBOMを作成し、サプライチェーンを可視化することが求められます。
脅威モデリングの実施
脅威モデリングとは、仮想的な攻撃者の観点から、ぜい(脆)弱性を特定し、列挙し、優先順位を付ける ことが可能な構造的方法によって、ある品目(ソフトウェア、機器、システムなど)のセキュリティを分析するための体系的なアプローチです。これを使用して、開発ライフサイクルの早い段階で潜在的な脅威を特定し、セキュリティ要件を定義し、対応する方法を設計に含め、システム試験でその有効性を確認することが求められます。
MDS2の作成と開示
MDS2(製造業者による医療機器セキュリティ開示書)とは、医療機器製造業者が、ヘルスケア事業者に対してセキュリティ関連情報を開示するための記載様式を提供するセキュリティ宣言書です。 医療機器に関連するサイバーセキュリティリスクの評価を支援する重要な情報を医療提供者に提供することが求められます。
セキュリティテストの実施
サイバーセキュリティのテスト工程は、システムや製品の安全性を確保するためのアクティビティです。この工程には、セキュリティ要求の確認、脅威軽減試験、脆弱性試験、侵入試験などが含まれ、システムが要求通りに動作し、適切なセキュリティ対策が機能していることを検証します。 医療機器が攻撃に対して脆弱であれば、患者の安全や個人情報の保護にリスクが生じるため、セキュリティリスクを最小限に抑えるための手順が求められます。
ベストプラクティス設計
現代社会におけるサイバーセキュリティの重要性は、日々増しています。特に、ネットワークを介して繋がる多様なデバイスやシステムは常に攻撃にさらされる可能性があり、脆弱性も常に新たに発見されている状況です。 システムの可用性、機密性、そして完全性を脅かすセキュリティリスクを最小限に抑えるため、ベストプラクティスに基づいたサイバーセキュリティの対策を実施することが求められます。