富士ソフトの医療機器開発におけるサイバーセキュリティ対策、JIS T 81001-5-1への取り組み【第3回】

Twitter
Facebook
Hatena
富士ソフトの医療機器開発におけるサイバーセキュリティ対策、JIS T 81001-5-1への取り組み【第3回】

令和5年厚生労働省告示第67号により、2023年4月から医療機器を開発する場合は、サイバーセキュリティへの対応が規制要求化されました。要求事項に従った開発、関係者でのレビューの実施、それらを記録してエビデンスを残すことが求められ、一連のプロセスに問題がないかどうかの確認が必要になりました。サイバーセキュリティ対応には、専門性の高いスキルが必要になりますが、医療機器メーカーの中にはハードウェア技術者を中心に開発体制を組んでいるなど、十分な対応を行うことが難しい場合があります。

本コラムでは、富士ソフトが提供する医療機器開発におけるサイバーセキュリティ対策と、JIS T 81001-5-1への取り組みについてご紹介します。

医療機器にサイバーセキュリティへの対策が求められる背景

警察庁の調査「令和4年におけるサイバー空間をめぐる脅威の情勢等について」※1によると、2018年から2022年の4年間でサイバー攻撃関連の通信が約3倍に増えています。また、株式会社帝国データバンクのアンケート「サイバー攻撃に関する実態アンケート」※2によると、4社に1社が「1年以内に被害を受けた」と回答しています。

センサーにおいて検知したアクセス件数の推移

出典:「令和4年におけるサイバー空間をめぐる脅威の情勢等について」

サイバー攻撃の有無

出典:「特別企画:サイバー攻撃に関する実態アンケート」

※1 警察庁
「令和4年におけるサイバー空間をめぐる脅威の情勢等について」17P
https://www.npa.go.jp/news/release/2023/20230314002.html
※2 「特別企画:サイバー攻撃に関する実態アンケート(2022 年 10 月)」2P
https://www.tdb.co.jp/report/watching/press/pdf/p221004.pdf



さらにチェック・ポイント・ソフトウェア・テクノロジーズ株式会社の「2023セキュリティレポート」によりますと、「2022年、最もサイバー攻撃の標的とされた業界は依然として教育・研究分野であった一方、保健医療分野に対する攻撃は、前年比74%という大幅な増加」をしており、世界的に医療業界のサイバーセキュリティ対策が危機的状況であることが分かります。

出典:Check Point Software Technologies「INTRODUCTION TO THE CHECK POINT 2023 SECURITY REPORT



また、「IBM Security X-Force脅威インテリジェンス・インデックス2022」によると医療機関への攻撃の内訳では、ランサムウェア(38%)やビジネスメール詐欺(BEC)(25%)などの割合が特に高く、感染の手口としては、脆弱性を悪用したものが半数以上(57%)を占めています。

医療機関への攻撃

感染手口

「IBM Security X-Force脅威インテリジェンス・インデックス2022」48Pの数値を元にグラフを作成



医療分野にサイバー攻撃が増えている背景としては、インターネットにつながる医療機器が増えたことが挙げられます。2018年頃からIoMTというキーワードが使われ始めたように、クラウドにつながる医療機器の増加に伴い、攻撃対象となる機器も増えているのです。しかし、医療機関でのセキュリティ対策が追いついていないため、攻撃しやすい環境になってしまっているといえます。
実際に、海外でも国内でも多くのインシデントが発生しており、2022年10月頃に大阪の医療機関で発生したインシデント※は、一般のニュースサイトでも大きく報じられました。このような様々な状況を受けて、医療機器についての規制が強まってきています。

※大阪府立病院機構 大阪急性期・総合医療センターのランサムウェア感染に関して
厚生労働省:「サイバーセキュリティインシデント事案の初動対応報告」4P
https://www.mhlw.go.jp/content/10808000/001024391.pdf

医療機器のサイバーセキュリティについての規制の動向

2014年にサイバーセキュリティ基本法が施行されてから、国内におけるサイバーセキュリティ関連の規制が強化されています。2022年には政府の「重要インフラのサイバーセキュリティに係る行動計画」が制定され、医療を含む重要インフラ事業者対してサイバー防衛が義務付けられています。
医療機器に関しては、2020年にIMDRF(国際医療機器規制当局フォーラム)から「IMDRFガイダンス」という、サイバーセキュリティに対するガイダンスが周知され、2021年には医療機器製造販売業者向けに「医療機器のサイバーセキュリティ導入に関する手引書」が周知されました。2023年3月に「令和5年厚生労働省告示第67号」が告示され、2023年4月から医療機器に対するサイバーセキュリティの確保が義務付けられました。参照規格として「JIS T 81001-5-1ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ-第5-1部」が指定されました。

医療機器向けの規制動向


「医療機器のサイバーセキュリティ導入に関する手引書」

国際整合化されたサイバーセキュリティの水準を日本において満たすために必要な、医療機器の製造からサポート終了までのTPLC(Total Product Life Cycle:製品ライフサイクル)における要求事項をまとめたもので、主に医療機器製造販売業者向けの手引書です。


「JIS T 81001-5-1 ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ-第5-1部」

医療機器に組み込むソフトウェアを含むヘルスソフトウェアのためのプロセス規格で、医療機器を含むヘルスケア機器の製造業者によるセキュリティに関する取り組みを規定し、JIS T 2304(医療機器ソフトウェアライフサイクルプロセス規格)に適用した開発を進める上で実施するサイバーセキュリティに関する取り組みを規定しています。​



この対応は、すでに稼働している機器であっても無関係ではなく、機能の追加や変更に伴う申請など、規制当局の監査のタイミングで確認されます。このため、その影響は大きく、医療機器メーカーにはしかるべき対応が求められています。しかし、医療機器メーカーの中には、セキュリティ対策に不慣れな企業もあり、対応が追いついていないところもあるのが現状です。

JIS T 81001-5-1に対応したサービスの提供

富士ソフトでは、2022年4月からサイバーセキュリティの専門部隊と医療機器開発の専門部隊が連携し、医療の規制や市場の動向を踏まえ、医療機器メーカーへのサイバーセキュリティのご支援の行うための新たなサービス「医療機器サイバーセキュリティ支援サービス」を立ち上げました。

医療機器のサイバーセキュリティについては、前述した「JIS T 81001-5-1」が求められます。この規格では、サイバーセキュリティを意識した医療機器を作るためにどのような対応が必要かなど、様々な要求事項が指定されています。富士ソフトではこの規格に合わせてサービスを提供しています。


ソフトウェアリスクマネジメントプロセスへの対応

医療機器を誤って使用したときにはケガをするなどのリスクがありますが、サイバー攻撃によって患者への被害が発生することを防止するためには、サイバーセキュリティに関するリスクマネジメントが求められます。これを支援するサービスが「リスクアセスメントサービス」です。

ソフトウェア開発プロセスへの対応

ソフトウェアを開発する際は、要件定義から設計、製造、試験といった工程があります。医療機器の開発も同様で、このような工程の中で脆弱性の評価や不正な入力への対応などを確認することが求められています。そこで、システムとしての脆弱性を診断する「脆弱性診断サービス」と、ソフトウェアのソースコードに対してプログラムを動かさずに解析して、セキュリティ面で問題がないかどうかを分析する「静的解析サービス」を提供しています。

ソフトウェア構成管理プロセスへの対応

加工食品にその原材料が表示されているのと同じように、医療機器などのシステムでも構成の把握が求められています。システムがどのようなソフトウェアで構成されているか、そのバージョンは何か、サプライヤはどこかなど、ソフトウェアの動作に必要な構成を表すSBOM(ソフトウェア部品表)を用意しなければならないのです。そして、このSBOMを作成するサービスが「SBOM作成サービス」です。

ソフトウェア問題解決プロセスへの対応

医療機器は開発して販売したら終わりではありません。Windowsでも常に新しい脆弱性が発見されているように、医療機器も販売後に様々な脆弱性が見つかる可能性があります。医療機器のシステムを構成するソフトウェアに新たに脆弱性が見つかった場合に、それを通知するサービスが「脆弱性情報監視サービス」です。

富士ソフトによる「コンサルティングサービス」とは

サイバーセキュリティの規格に対応するためには、「QMS(品質マネジメントシステム)」を構築しなければなりません。QMSを構築するにあたってどのように進めればよいかサポートを行うのが、最後に紹介した「コンサルティングサービス」です。脆弱性診断など、他の業界でも使われるサービスは他社も取り組んでいますが、QMSの構築まで含めた、医療の法規制と紐づけたセキュリティサービスをトータルで提供できることは富士ソフトの優位性だと感じています。

JIS T 81001-5-1という規格に基づいた設計開発のプロセスを進めるためにQMSを構築することは、医療機器メーカーが直面する課題です。富士ソフトでは、JIS T 81001-5-1や手引書に対応した規定類を整備するときに、どのようなことが求められているのか、求められていることへの対応内容についてコンサルティングやアドバイスをしています。

医療機器におけるソフトウェア開発において、国内ではJIS T 2304への適合が2017年に規制化されているので、医療機器メーカーも一度は作られているはずです。しかし、今回はサイバーセキュリティの要求事項を取り込まなければなりません。

必要な手順を考えるのは難しいため、富士ソフトはQMSの構築を支援しています。また、QMSは構築したら終わりではなく、QMSに基づいた開発を定着させなければならないため、お客様の中での説明会や講習会の開催、QMSに沿った設計開発の伴走などが必要となることも考えられます。

様々な支援をご提供するには、幅広い知識が必要であり、プロジェクトチーム内でカバーしあえる状況を作っています。

まとめ

富士ソフトでは、IoMTに対するセキュリティ対策について、多くのナレッジを積んできました。また、脆弱性診断など、これまでの実践で培ったサイバーセキュリティの知識や経験をオール富士ソフトで提供いたします。

IoMT
https://www.fsi-embedded.jp/iomt/
医療機器サイバーセキュリティ支援サービス
https://www.fsi-embedded.jp/iomt/serversecurity/

次の記事はコチラ
『これからの医療分野のセキュリティ対策と、富士ソフトが目指す医療機器開発ビジネス【第4回】』

関連の記事はこちら
『医療機器の開発に取り組む富士ソフトが注目する「IEC 62304」とIoMT【第1回】』
医療情報システム開発におけるセキュリティ対策、
 「3省2ガイドライン」への取り組み【第2回】

『富士ソフトの医療機器開発におけるサイバーセキュリティ対策、
 JIS T 81001-5-1への取り組み【第3回】』
これからの医療分野のセキュリティ対策と、
 富士ソフトが目指す医療機器開発ビジネス【第4回】

 

 

この記事の執筆者

伊藤 健Ken Ito

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第1技術グループ
課長 / フェロー

IoMT

この記事の執筆者

降籏 信也Shinya Furihata

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第3技術グループ
主任 / エキスパート

IoMT