Abstract image of a woman sitting on books and studying on a laptop

医療機器サイバーセキュリティにおけるOWASPとCSAの連携

Eiji Sasahara, Ph.D., MBA 笹原英司, profile picture
Eiji Sasahara, Ph.D., MBA 笹原英司

1. 輸出戦略に赤信号が灯る日本の医療機器 2. 医療機器開発におけるOWASPとCSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~

Health & Medicine
Related topics:
Medical Devices Overview
1 of 22
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance February 5, 2020 米国OWASP Los Angeles Chapter & CSA HIM WG @esasahara
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 輸出戦略に赤信号が灯る 日本の医療機器 2. 医療機器開発におけるOWASPと CSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 国際医療機器規制当局フォーラム(IMDRF) 「DRAFT DOCUMENT: Principles and Practices for Medical Device Cybersecurity」 (2019年10月1日) (http://www.imdrf.org/consultations/cons-ppmdc.asp) • 米国食品医薬品局(FDA)とカナダ保健省を共同座長とする IMDRF医療機器サイバーセキュリティ作業部会が策定 • 医療機器リスクマネジメントに関する国際標準規格「ISO 14971」および医療機器の品質マネジメントシステムに関する 国際標準規格「ISO 13485」に準拠
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 一般原則 (1)トータル製品ライフサイクル(TPLC) セキュリティ・リスクマネジメント・プロセス • セキュリティリスク分析 • セキュリティリスク評価 • セキュリティリスクコントロール • 全体の残余セキュリティリスク受容可能性評価 • セキュリティリスクマネジメント報告 • 生産および生産後の情報 医療機器製造業者の対策 • あらゆるサイバーセキュリティ脆弱性の特定 • 関連するリスクの推定と評価 • これらのリスクを許容できるレベルまでのコントロール • リスクコントロールの有効性のモニタリング
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)共有された責任 主要なステークホルダー • 医療機器製造業者 • 医療機関 • ユーザー • 規制当局 • 脆弱性の発見者(ホワイトハッカー含む) 全てのステークホルダーが、医療機器のライフサイクル全体に わたって、潜在的なサイバーセキュリティリスクと脅威に関する 継続的なモニタリング、評価、低減、伝達の責任を有する
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)情報共有 全てのステークホルダーが積極的に情報共有分析組織 (ISAOs)へ参画するよう推奨 (4)特定、保護、検知、対応、復旧する能力 NISTサイバーセキュリティフレームワークとのマッピング (5)国際調和 イノベーションを促進し、安全性および有効性のある医療 機器への迅速な患者のアクセスを可能にする 患者安全の維持を保証するために、世界の医療サイバー セキュリティへの取り組みが集約される必要がある
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2. 医療機器製造業者向けの市販前考慮事項 (1)セキュリティ要求事項とアーキテクチャ設計 セキュアな通信 データの機密性 データの完全性 ユーザーアクセス ソフトウェアのメンテナンス ハードウェアまたは物理的設計 信頼性と可用性 (2)リスクマネジメント セキュリティリスク評価 脅威モデル 脆弱性スコアリング
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)セキュリティテスト 医療機器の設計フェーズのバリデーションの要求事項 ーソフトウェアコンポーネント/モジュールにおける既知の 脆弱性またはソフトウェアの弱点に関するターゲット 検索の実行(例:静的コード解析、動的解析、堅牢性 テスト、脆弱性スキャニング、ソフトウェア・コンポジション 分析 ー技術的セキュリティ分析の実行(例:ペネトレーション テスト) ー脆弱性評価の遂行(例:脆弱性影響度評価)
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)市販後管理戦略 市販後監視計画 脆弱性開示プロセス パッチ当て・アップデート計画 復旧計画(例:サイバーインシデント対応) 情報共有(例:ISAOsへの参画) (5)表示または利用者セキュリティ文書 製造業者による文書(例:機器のインストール・構成 文書、稼働環境の技術要件文書、ソフトウェア部品表 (SBOM))
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)規制提出要求事項 設計文書 ーサイバーセキュリティリスク・脅威を低減する設計機能 リスクマネジメント文書 ー包括的なリスクマネジメント文書(例:脅威モデリング、 特定可能なサイバーセキュリティ脅威) ー他のリスクに対するセキュリティリスク低減の影響度 ー製品ライフサイクル全体を通して、機器のサイバーセキュリティ・ リジエンシーを維持するための計画 セキュリティテスト文書 ーテスト手法、結果、結論の記述 ーセキュリティリスク、セキュリティコントロール、コントロールを検証 するテストの間のトレーサビリティ・マトリックス表 市販後管理計画 表示または利用者セキュリティ文書
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3. 医療機器サイバーセキュリティの市販後考慮事項 (1)意図する使用環境で作動する機器 医療機関・患者向け: a. 医療機関が採用すべきサイバーセキュリティのベストプラクティス b. 全ユーザー向けの訓練/教育 医療機器製造業者向け: ・医療機関、再販業者、消費者との連携 (2)情報共有 主要なステークホルダー a. 規制当局 b. 医療機関 c. ユーザー d. 政府機関や情報共有主体などその他のステークホルダー (ISAOs、CERTsを含む)
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)情報共有(続き) 情報のタイプ 信頼できるコミュニケーション (3)協調的な脆弱性の公開(CVD) マルチステークホルダー環境下のプロアクティブな情報共有を 可能にするCVDポリシーおよび手順の採用を推奨 医療機器製造業者(製品CERT含む) 規制当局(当局間のグローバル連携含む) 脆弱性の報告者(セキュリティ研究者およびその他の脆弱性 発見者=ホワイトハッカー含む)
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)脆弱性の救済策 医療機器製造業者向け: a. リスクマネジメント b. サードパーティ・コンポーネント(サプライチェーン含む) c. コミュニケーション d. 救済行動 医療機関・患者向け: a. パッチ当て b. 専門医療施設環境向けの考慮事項 c. 在宅医療環境向けの考慮事項 規制当局: ー市販後のパッチ当て
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インシデント対応 医療機器製造業者向け: a. 役割と責任(ISO/IEC 27035への準拠) b. コミュニケーションの期待事項 (CERTやISAOsとの連携含む) 医療機関向け: a. ポリシーと役割 (CERTやISAOsとの連携含む) b. 役割ごとの訓練 c. 分析と対応 規制当局向け: ー患者安全への影響度評価、他の政府機関との連携 など
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (6)レガシー医療機器 医療機器製造業者向け: ー機器が最低限のセキュリティ・ベースラインを満たす、 セキュアな開発フレームワークに基づく機器の設計・開発 ーレガシー機器の重大な脆弱性に関するモニタリングと、 製品ライフサイクル管理に基づく最善の努力 ー医療機器ライフサイクル管理や製品寿命に関するコミュ ニケーションの明確化 医療機関向け: ー医療機器製造業者との間のコミュニケーションの改善 ーソフトウェア部品表(BOM)の有効活用 ー医療機器ライフサイクル管理に基づく製品寿命の明確化 ー医療機関が使用する医療機器の保守・維持の保証 ー既存環境におけるリスク・コントロールの限界に関する理解
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance OWASP/Cloud Security Alliance 「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日) (https://www.owasp.org/images/9/95/OWASP_Secure_Medical_Devices_Deployment_St andard_7.18.18.pdf) • 目的:医療施設内における医療機器の セキュアな導入のための包括的な指針を 提供する • PROJECT LEAD: Christopher Frenz • CONTRIBUTORS: K S Abhiraj、Hillary Baron、Christian Dameff、Aaron Guzman、Siren Hofvander、Ashish Mehta、Brian Moussalli、Michael Roza、 Igor Amorim Silva、Srinivas Tatipamula 出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日)
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (1)調達時のコントロール • セキュリティ監査/評価 • プライバシー・インパクト評価 • サポート評価(例.セキュリティパッチ当て) (2)境界の防御 • ファイアウォール • ネットワーク侵入検知/予防システム(NIDS/NIPS) • プロキシサーバー/Webフィルター
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)ネットワークセキュリティのコントロール • ネットワークのセグメント化 • 内部ファイアウォール • 内部ネットワークのNIDS/NIPS • Syslogサーバー • ログのモニタリング • 脆弱性のスキャニング • DNSシンクホール
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)デバイスセキュリティのコントロール • デフォルト認証情報の変更 • アカウントのロックアウト • セキュアな転送の実現 • ファームウェア/ソフトウェアのスペア・コピー • デバイス構成のバックアップ • ベースライン構成 • 暗号化ストレージ • 異なるユーザーアカウント(例.特権ユーザー) • 管理インタフェースへのアクセス制限 • メカニズムの更新 • 法令遵守のモニタリング • 物理的セキュリティ
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インタフェースと中央ステーションのセキュリティ • OSのハードニング • 暗号化された転送 • メッセージセキュリティ – HL7 v3セキュリティ標準規格 (6)セキュリティテスト • ペネトレーションテスト (7)インシデント対応 • インシデント対応計画 • 模擬的なシンシデント
www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance Cloud Security Alliance 「Cloud Security Alliance Health Information Management Working Group Co-Chair Dr. Jim Angle to Present at HIMSS」(2019年11月20日) (https://cloudsecurityalliance.org/press-releases/2019/11/20/cloud-security-alliance-health-information- management-working-group-co-chair-dr-jim-angle-to-present-at-himss/) • HIMSS Global Health Conference & Exhibition • 日時:2020年3月11日午後2:30~(現地時間) • 会場:米国フロリダ州オーランド • テーマ:“Managing the Risk for Medical Devices Connected to the Cloud”
www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance 薬害エイズ事件の教訓を活かす

More Related Content

PPT
Toon daraalal
Oyunbileg Maam
 
PDF
Lecture 2-2015
Uka Batbuyn
 
PPTX
Реле
Nyamkani
 
PDF
Эрчим хүчний ажилтаны аюулгүй ажиллагааны үндсэн дүрэм
Г. Ганбаяр
 
PDF
Tsahilgaan static oron
Bazarragchaa Erdenebileg
 
PPTX
Introduction to Haproxy
Shaopeng He
 
ODP
омын хууль хэр
Otgonbayar Uuganaa
 
PPTX
Гал хамгаалагч
munhbat otgontsetseg
 
Toon daraalal
Oyunbileg Maam
 
Lecture 2-2015
Uka Batbuyn
 
Реле
Nyamkani
 
Эрчим хүчний ажилтаны аюулгүй ажиллагааны үндсэн дүрэм
Г. Ганбаяр
 
Tsahilgaan static oron
Bazarragchaa Erdenebileg
 
Introduction to Haproxy
Shaopeng He
 
омын хууль хэр
Otgonbayar Uuganaa
 
Гал хамгаалагч
munhbat otgontsetseg
 

What's hot (20)

ODP
Byamba2
jiguurten
 
PPTX
бодисын хувирал
ganzorig_od
 
DOC
Атомын цахилгаан станц
Nael Narantsengel
 
PPT
тоон логик 3 l,4lсуурь логик
tsdnsrn
 
PPTX
Идеал хий хуулиуд.pptx
SunkharZiadabyek
 
DOCX
химийн тэнцвэр ба термодинамик үндэслэл
davaa627
 
PDF
Kafka and GraphQL: Misconceptions and Connections | Gerard Klijs, Open Web
HostedbyConfluent
 
ODP
уранцэцэг
Migaa2479
 
PPTX
Хэл амаар түрэмгийлэх буюу аман түрэмгийлэл
Khulanshuudeee
 
PPT
Tsahim hicheel 1
batgerel79
 
PPTX
Tileubek
TileubekTiky
 
DOCX
7-р ангийн ээлжит хичээлийн хөтөлбөрүүд
roza_toshke
 
PDF
Синхрон генератор
zaluu_medleg
 
PPTX
шингэний даралт
davazolko222
 
DOC
гар угаах дараалал
delgerya
 
ODT
хдхв дох-ын аюул
Munguuzb
 
PPTX
12
BMunguntuul
 
PPTX
Аrt&sience
Otgoo Lxam
 
PPT
архи тамхи таны эрүүл мэндэд
Tuul Tula
 
DOCX
Sem3
amaraa_tazo
 
Byamba2
jiguurten
 
бодисын хувирал
ganzorig_od
 
Атомын цахилгаан станц
Nael Narantsengel
 
тоон логик 3 l,4lсуурь логик
tsdnsrn
 
Идеал хий хуулиуд.pptx
SunkharZiadabyek
 
химийн тэнцвэр ба термодинамик үндэслэл
davaa627
 
Kafka and GraphQL: Misconceptions and Connections | Gerard Klijs, Open Web
HostedbyConfluent
 
уранцэцэг
Migaa2479
 
Хэл амаар түрэмгийлэх буюу аман түрэмгийлэл
Khulanshuudeee
 
Tsahim hicheel 1
batgerel79
 
Tileubek
TileubekTiky
 
7-р ангийн ээлжит хичээлийн хөтөлбөрүүд
roza_toshke
 
Синхрон генератор
zaluu_medleg
 
шингэний даралт
davazolko222
 
гар угаах дараалал
delgerya
 
хдхв дох-ын аюул
Munguuzb
 
12
BMunguntuul
 
Аrt&sience
Otgoo Lxam
 
архи тамхи таны эрүүл мэндэд
Tuul Tula
 
Sem3
amaraa_tazo
 
Ad

Similar to 医療機器サイバーセキュリティにおけるOWASPとCSAの連携 (20)

PPTX
AI医療機器に求められるセキュリティと国内外の動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
クラウドネイティブな組込ソフトウェア開発手法とMLSecOpsへの進化 : 医療機器に学ぶ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Standardization of Healthcare Cloud Security and Crowdsourcing
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Cloud Security Alliance Japan Chapter Big Data @ The University of Tokyo on D...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
医療におけるサードパーティベンダーリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
CSA Japan Chapter Global Activities on Dec.3, 2013
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working G...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
PDF
医療分野のドローンの利用事例
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
はじめてのOracle Cloud Infrastructure(Oracle Cloudウェビナーシリーズ: 2020年9月2日)
オラクルエンジニア通信
 
PDF
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
医療分野のブロックチェーン利活用
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
プライバシーエンジニアリング技術標準化の欧米比較
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
健康医療分野の海外サイバーセキュリティ最新動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
情報プラットフォーム構築に必要なこと~欧州のユースケースに学ぶ医療・介護・健康情報連携基盤~
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Cloud Security Alliance Japan Chapter Mobile Working Group (November 2013)
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
はじめてのOracle Cloud Infrastructure(Oracle Cloudウェビナーシリーズ: 2020年8月5日)
オラクルエンジニア通信
 
PDF
Softonic journal 2012年11月号
softonicjapan
 
PPTX
SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
医療分野のドローンの利用事例
Eiji Sasahara, Ph.D., MBA 笹原英司
 
AI医療機器に求められるセキュリティと国内外の動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドネイティブな組込ソフトウェア開発手法とMLSecOpsへの進化 : 医療機器に学ぶ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Standardization of Healthcare Cloud Security and Crowdsourcing
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Cloud Security Alliance Japan Chapter Big Data @ The University of Tokyo on D...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療におけるサードパーティベンダーリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
CSA Japan Chapter Global Activities on Dec.3, 2013
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Oct.18, 2013: Healthcare cafe @CSA-JC Health Information Management Working G...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
医療分野のドローンの利用事例
Eiji Sasahara, Ph.D., MBA 笹原英司
 
はじめてのOracle Cloud Infrastructure(Oracle Cloudウェビナーシリーズ: 2020年9月2日)
オラクルエンジニア通信
 
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療分野のブロックチェーン利活用
Eiji Sasahara, Ph.D., MBA 笹原英司
 
プライバシーエンジニアリング技術標準化の欧米比較
Eiji Sasahara, Ph.D., MBA 笹原英司
 
健康医療分野の海外サイバーセキュリティ最新動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
情報プラットフォーム構築に必要なこと~欧州のユースケースに学ぶ医療・介護・健康情報連携基盤~
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Cloud Security Alliance Japan Chapter Mobile Working Group (November 2013)
Eiji Sasahara, Ph.D., MBA 笹原英司
 
はじめてのOracle Cloud Infrastructure(Oracle Cloudウェビナーシリーズ: 2020年8月5日)
オラクルエンジニア通信
 
Softonic journal 2012年11月号
softonicjapan
 
SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療分野のドローンの利用事例
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Ad

More from Eiji Sasahara, Ph.D., MBA 笹原英司 (20)

PDF
欧州セキュリティ認証制度(EUCC)と CSA STAR/CCM:イタリアのユースケースに学ぶ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
クラウドワークロードセキュリティと 新興技術評価 -FedRAMP新ガイダンス-
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320C ハードウェア対応セキュリティ:マシンアイデンティティ管理と保護」 初期公開草案概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320D ハードウェア対応セキュリティ:ハードウェアベースの秘密計算」初期公開草案概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
医療/介護イノベーションの“砂場”に 変貌するシンガポール :シンガポールのクラウドセキュリティ管理手法
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Metaverse and NFTs on the Healthcare Cloud
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
米国大統領令を起点とする医療機器のゼロトラストとSBOM
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
ロボット支援手術(RAS)システムの脅威モデリング ~医療ロボットから自動車への横展開~
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
ゲノムデータのサイバーセキュリティとアクセス制御
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
医療クラウドにおけるランサムウェア攻撃予防対策
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
遠隔医療のクラウド利用とリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Landscape of Cloud-Driven Digital Health Platform Market in Japan 2023
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
バイオエコノミー産業の サイバーセキュリティ最新動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Cloud-Native Security on Digital Health-Telehealth Use Case
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
PPTX
「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
欧州セキュリティ認証制度(EUCC)と CSA STAR/CCM:イタリアのユースケースに学ぶ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320 ハードウェア対応セキュリティ: クラウド・エッジコンピューティングのユースケース向け プラットフォームセキュリティの階層型アプ...
Eiji Sasahara, Ph.D., MBA 笹原英司
 
クラウドワークロードセキュリティと 新興技術評価 -FedRAMP新ガイダンス-
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320C ハードウェア対応セキュリティ:マシンアイデンティティ管理と保護」 初期公開草案概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320D ハードウェア対応セキュリティ:ハードウェアベースの秘密計算」初期公開草案概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療/介護イノベーションの“砂場”に 変貌するシンガポール :シンガポールのクラウドセキュリティ管理手法
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Metaverse and NFTs on the Healthcare Cloud
Eiji Sasahara, Ph.D., MBA 笹原英司
 
米国大統領令を起点とする医療機器のゼロトラストとSBOM
Eiji Sasahara, Ph.D., MBA 笹原英司
 
ロボット支援手術(RAS)システムの脅威モデリング ~医療ロボットから自動車への横展開~
Eiji Sasahara, Ph.D., MBA 笹原英司
 
ゲノムデータのサイバーセキュリティとアクセス制御
Eiji Sasahara, Ph.D., MBA 笹原英司
 
バイオ/医療サプライチェーンのサイバーセキュリティリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
最新事例に学ぶクラウドネイティブな医療AIのセキュリティ
Eiji Sasahara, Ph.D., MBA 笹原英司
 
医療クラウドにおけるランサムウェア攻撃予防対策
Eiji Sasahara, Ph.D., MBA 笹原英司
 
遠隔医療のクラウド利用とリスク管理
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Landscape of Cloud-Driven Digital Health Platform Market in Japan 2023
Eiji Sasahara, Ph.D., MBA 笹原英司
 
バイオエコノミー産業の サイバーセキュリティ最新動向
Eiji Sasahara, Ph.D., MBA 笹原英司
 
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン
Eiji Sasahara, Ph.D., MBA 笹原英司
 
Cloud-Native Security on Digital Health-Telehealth Use Case
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NISTIR 8320B ハードウェア対応セキュリティ:信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 
「NIST SP 800-204C サービスメッシュを利用したマイクロサービスベースのアプリケーション向けDevSecOpsの展開」概説
Eiji Sasahara, Ph.D., MBA 笹原英司
 

Recently uploaded (9)

PPTX
EMA meeting 2025 summer ジョブフェア_都立広尾_施設紹介HP掲載 幹男 中島.pptx
ssuser986151
 
PDF
EMA meeting 2025 summer ジョブフェア_横浜労災病院_施設紹介HP用 柴崎貴俊(横浜労災).pdf
ssuser986151
 
PDF
GM_生物学_遺伝子_細胞療法_GCT_製品_パンフレット_2025日本語.pdf
MelissaZHANG18
 
PDF
EMA meeting 2025 summer ジョブフェア_大阪赤十字病院_施設紹介HP用 池添徳晃.pdf
ssuser986151
 
PDF
EMA meeting 2025 summer ジョブフェア_順天堂静岡病院_施設紹介HP.pdf
ssuser986151
 
PPTX
EMA meeting 2025 summer ジョブフェア_和歌山県立医大_施設紹介HP用 國立晃成(和歌山県立医科大学).pptx
ssuser986151
 
PDF
EMA meeting 2025 summer ジョブフェア_千葉市立海浜病院_施設紹介HP用 溝辺倫子.pdf
ssuser986151
 
PPTX
EMA meeting 2025 summer ジョブフェア_兵庫県立尼崎総合医療センター_施設紹介HP用 亮太 浅井.pptx
ssuser986151
 
PDF
EMA meeting 2025 summer ジョブフェア_熊本赤十字病院_施設紹介HP用 永井 冴映.pdf
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_都立広尾_施設紹介HP掲載 幹男 中島.pptx
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_横浜労災病院_施設紹介HP用 柴崎貴俊(横浜労災).pdf
ssuser986151
 
GM_生物学_遺伝子_細胞療法_GCT_製品_パンフレット_2025日本語.pdf
MelissaZHANG18
 
EMA meeting 2025 summer ジョブフェア_大阪赤十字病院_施設紹介HP用 池添徳晃.pdf
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_順天堂静岡病院_施設紹介HP.pdf
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_和歌山県立医大_施設紹介HP用 國立晃成(和歌山県立医科大学).pptx
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_千葉市立海浜病院_施設紹介HP用 溝辺倫子.pdf
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_兵庫県立尼崎総合医療センター_施設紹介HP用 亮太 浅井.pptx
ssuser986151
 
EMA meeting 2025 summer ジョブフェア_熊本赤十字病院_施設紹介HP用 永井 冴映.pdf
ssuser986151
 

医療機器サイバーセキュリティにおけるOWASPとCSAの連携

  • 1. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance February 5, 2020 米国OWASP Los Angeles Chapter & CSA HIM WG @esasahara
  • 2. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 輸出戦略に赤信号が灯る 日本の医療機器 2. 医療機器開発におけるOWASPと CSAの連携活動 3. まとめ/Q&A ~薬害エイズ事件の教訓を活かす~
  • 3. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 国際医療機器規制当局フォーラム(IMDRF) 「DRAFT DOCUMENT: Principles and Practices for Medical Device Cybersecurity」 (2019年10月1日) (http://www.imdrf.org/consultations/cons-ppmdc.asp) • 米国食品医薬品局(FDA)とカナダ保健省を共同座長とする IMDRF医療機器サイバーセキュリティ作業部会が策定 • 医療機器リスクマネジメントに関する国際標準規格「ISO 14971」および医療機器の品質マネジメントシステムに関する 国際標準規格「ISO 13485」に準拠
  • 4. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 1. 一般原則 (1)トータル製品ライフサイクル(TPLC) セキュリティ・リスクマネジメント・プロセス • セキュリティリスク分析 • セキュリティリスク評価 • セキュリティリスクコントロール • 全体の残余セキュリティリスク受容可能性評価 • セキュリティリスクマネジメント報告 • 生産および生産後の情報 医療機器製造業者の対策 • あらゆるサイバーセキュリティ脆弱性の特定 • 関連するリスクの推定と評価 • これらのリスクを許容できるレベルまでのコントロール • リスクコントロールの有効性のモニタリング
  • 5. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)共有された責任 主要なステークホルダー • 医療機器製造業者 • 医療機関 • ユーザー • 規制当局 • 脆弱性の発見者(ホワイトハッカー含む) 全てのステークホルダーが、医療機器のライフサイクル全体に わたって、潜在的なサイバーセキュリティリスクと脅威に関する 継続的なモニタリング、評価、低減、伝達の責任を有する
  • 6. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)情報共有 全てのステークホルダーが積極的に情報共有分析組織 (ISAOs)へ参画するよう推奨 (4)特定、保護、検知、対応、復旧する能力 NISTサイバーセキュリティフレームワークとのマッピング (5)国際調和 イノベーションを促進し、安全性および有効性のある医療 機器への迅速な患者のアクセスを可能にする 患者安全の維持を保証するために、世界の医療サイバー セキュリティへの取り組みが集約される必要がある
  • 7. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 2. 医療機器製造業者向けの市販前考慮事項 (1)セキュリティ要求事項とアーキテクチャ設計 セキュアな通信 データの機密性 データの完全性 ユーザーアクセス ソフトウェアのメンテナンス ハードウェアまたは物理的設計 信頼性と可用性 (2)リスクマネジメント セキュリティリスク評価 脅威モデル 脆弱性スコアリング
  • 8. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)セキュリティテスト 医療機器の設計フェーズのバリデーションの要求事項 ーソフトウェアコンポーネント/モジュールにおける既知の 脆弱性またはソフトウェアの弱点に関するターゲット 検索の実行(例:静的コード解析、動的解析、堅牢性 テスト、脆弱性スキャニング、ソフトウェア・コンポジション 分析 ー技術的セキュリティ分析の実行(例:ペネトレーション テスト) ー脆弱性評価の遂行(例:脆弱性影響度評価)
  • 9. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)市販後管理戦略 市販後監視計画 脆弱性開示プロセス パッチ当て・アップデート計画 復旧計画(例:サイバーインシデント対応) 情報共有(例:ISAOsへの参画) (5)表示または利用者セキュリティ文書 製造業者による文書(例:機器のインストール・構成 文書、稼働環境の技術要件文書、ソフトウェア部品表 (SBOM))
  • 10. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)規制提出要求事項 設計文書 ーサイバーセキュリティリスク・脅威を低減する設計機能 リスクマネジメント文書 ー包括的なリスクマネジメント文書(例:脅威モデリング、 特定可能なサイバーセキュリティ脅威) ー他のリスクに対するセキュリティリスク低減の影響度 ー製品ライフサイクル全体を通して、機器のサイバーセキュリティ・ リジエンシーを維持するための計画 セキュリティテスト文書 ーテスト手法、結果、結論の記述 ーセキュリティリスク、セキュリティコントロール、コントロールを検証 するテストの間のトレーサビリティ・マトリックス表 市販後管理計画 表示または利用者セキュリティ文書
  • 11. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance 3. 医療機器サイバーセキュリティの市販後考慮事項 (1)意図する使用環境で作動する機器 医療機関・患者向け: a. 医療機関が採用すべきサイバーセキュリティのベストプラクティス b. 全ユーザー向けの訓練/教育 医療機器製造業者向け: ・医療機関、再販業者、消費者との連携 (2)情報共有 主要なステークホルダー a. 規制当局 b. 医療機関 c. ユーザー d. 政府機関や情報共有主体などその他のステークホルダー (ISAOs、CERTsを含む)
  • 12. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (2)情報共有(続き) 情報のタイプ 信頼できるコミュニケーション (3)協調的な脆弱性の公開(CVD) マルチステークホルダー環境下のプロアクティブな情報共有を 可能にするCVDポリシーおよび手順の採用を推奨 医療機器製造業者(製品CERT含む) 規制当局(当局間のグローバル連携含む) 脆弱性の報告者(セキュリティ研究者およびその他の脆弱性 発見者=ホワイトハッカー含む)
  • 13. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)脆弱性の救済策 医療機器製造業者向け: a. リスクマネジメント b. サードパーティ・コンポーネント(サプライチェーン含む) c. コミュニケーション d. 救済行動 医療機関・患者向け: a. パッチ当て b. 専門医療施設環境向けの考慮事項 c. 在宅医療環境向けの考慮事項 規制当局: ー市販後のパッチ当て
  • 14. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インシデント対応 医療機器製造業者向け: a. 役割と責任(ISO/IEC 27035への準拠) b. コミュニケーションの期待事項 (CERTやISAOsとの連携含む) 医療機関向け: a. ポリシーと役割 (CERTやISAOsとの連携含む) b. 役割ごとの訓練 c. 分析と対応 規制当局向け: ー患者安全への影響度評価、他の政府機関との連携 など
  • 15. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (6)レガシー医療機器 医療機器製造業者向け: ー機器が最低限のセキュリティ・ベースラインを満たす、 セキュアな開発フレームワークに基づく機器の設計・開発 ーレガシー機器の重大な脆弱性に関するモニタリングと、 製品ライフサイクル管理に基づく最善の努力 ー医療機器ライフサイクル管理や製品寿命に関するコミュ ニケーションの明確化 医療機関向け: ー医療機器製造業者との間のコミュニケーションの改善 ーソフトウェア部品表(BOM)の有効活用 ー医療機器ライフサイクル管理に基づく製品寿命の明確化 ー医療機関が使用する医療機器の保守・維持の保証 ー既存環境におけるリスク・コントロールの限界に関する理解
  • 16. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance OWASP/Cloud Security Alliance 「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日) (https://www.owasp.org/images/9/95/OWASP_Secure_Medical_Devices_Deployment_St andard_7.18.18.pdf) • 目的:医療施設内における医療機器の セキュアな導入のための包括的な指針を 提供する • PROJECT LEAD: Christopher Frenz • CONTRIBUTORS: K S Abhiraj、Hillary Baron、Christian Dameff、Aaron Guzman、Siren Hofvander、Ashish Mehta、Brian Moussalli、Michael Roza、 Igor Amorim Silva、Srinivas Tatipamula 出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月7日)
  • 17. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (1)調達時のコントロール • セキュリティ監査/評価 • プライバシー・インパクト評価 • サポート評価(例.セキュリティパッチ当て) (2)境界の防御 • ファイアウォール • ネットワーク侵入検知/予防システム(NIDS/NIPS) • プロキシサーバー/Webフィルター
  • 18. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (3)ネットワークセキュリティのコントロール • ネットワークのセグメント化 • 内部ファイアウォール • 内部ネットワークのNIDS/NIPS • Syslogサーバー • ログのモニタリング • 脆弱性のスキャニング • DNSシンクホール
  • 19. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (4)デバイスセキュリティのコントロール • デフォルト認証情報の変更 • アカウントのロックアウト • セキュアな転送の実現 • ファームウェア/ソフトウェアのスペア・コピー • デバイス構成のバックアップ • ベースライン構成 • 暗号化ストレージ • 異なるユーザーアカウント(例.特権ユーザー) • 管理インタフェースへのアクセス制限 • メカニズムの更新 • 法令遵守のモニタリング • 物理的セキュリティ
  • 20. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance (5)インタフェースと中央ステーションのセキュリティ • OSのハードニング • 暗号化された転送 • メッセージセキュリティ – HL7 v3セキュリティ標準規格 (6)セキュリティテスト • ペネトレーションテスト (7)インシデント対応 • インシデント対応計画 • 模擬的なシンシデント
  • 21. www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2012 Cloud Security Alliance Cloud Security Alliance 「Cloud Security Alliance Health Information Management Working Group Co-Chair Dr. Jim Angle to Present at HIMSS」(2019年11月20日) (https://cloudsecurityalliance.org/press-releases/2019/11/20/cloud-security-alliance-health-information- management-working-group-co-chair-dr-jim-angle-to-present-at-himss/) • HIMSS Global Health Conference & Exhibition • 日時:2020年3月11日午後2:30~(現地時間) • 会場:米国フロリダ州オーランド • テーマ:“Managing the Risk for Medical Devices Connected to the Cloud”
  • 22. www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2011 Cloud Security Alliance 薬害エイズ事件の教訓を活かす