米国食品医薬品局(FDA)は、医療用「スマート」デバイスが病院に販売された後や患者の体内に入った後でも、どのようにセキュリティを確保すべきかについてのデジタルセキュリティガイドラインを発表した。
拘束力のないセキュリティ勧告
医療機器、特に人体に埋め込まれる可能性のある機器の性質上、デジタルセキュリティのリスク要因は、他の一般的な「スマート」デバイスよりもはるかに大きくなります。こうしたセキュリティの低いIoT(モノのインターネット)製品は、主要サービスのダウンに意図せず加担してしまうなど、独自の問題を引き起こしますが、通常は人命に直接的な脅威を与えることはありません。
FDAのガイドラインには法的拘束力はありません。ガイドラインの公表により、医療機器メーカーは自社製品のセキュリティ対策を知らないという言い訳ができなくなるため、これは歓迎すべき進展ですが、ベンダーがFDAの勧告を無視し、セキュリティの低い機器を販売する可能性は依然として残っています。
しかし、現在の 30 ページのガイダンスは、少なくとも将来の立法化への足がかりとなる可能性があります。また、厳格な強制的な規則が施行されるまで、医療機器会社が機器のセキュリティ保護への移行を容易にする可能性もあります。
セキュリティバイデザイン
FDAは2014年、開発段階から出荷前までのデバイスを適切にセキュリティ保護するための一連の推奨事項を発表しました。この新しい文書は主に、顧客への出荷後のデバイスのセキュリティ保護方法に焦点を当てていますが、企業はセキュリティに対する包括的なアプローチを検討することが重要です。修正すべき重大な脆弱性が少なければ、長期的には費用対効果が高くなる可能性があり、患者の安全も確保できます。
他の研究からもわかるように、「設計段階からのセキュリティ」は、消費者への販売後に機器が侵害されることを回避したい、あるいは長期間にわたるアップデートにかかるコストを抑えたいと考えるすべての電子機器メーカーが導入すべき戦略です。医療機器は人命に直接危険を及ぼす可能性があり、10年以上のサポートが必要になる場合もあるため、この戦略は特に重要です。
市販後安全ガイドライン
FDAの科学・戦略的パートナーシップ担当副ディレクター、スザンヌ・シュワルツ氏によると、医療機器企業は販売後も、機器のセキュリティとサポートを適切な水準で確保する必要があるとのことです。具体的には以下の点が挙げられます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
デバイスのサイバーセキュリティの脆弱性を監視および検出する方法を持つこと脆弱性が患者の安全に及ぼすリスクのレベルを理解し、評価し、検出することサイバーセキュリティ研究者やその他の関係者と協力して潜在的な脆弱性に関する情報を受け取るためのプロセスを確立すること(「協調的な脆弱性開示ポリシー」と呼ばれる)サイバーセキュリティの問題が悪用され被害が発生する前に、早期に対処するための緩和策(例:ソフトウェアパッチ)を展開すること
新しいガイドラインでは、脅威が発生した際に他の企業や米国政府と共有するために、情報共有分析組織(ISAO)に参加することも推奨されている。
通常のセキュリティパッチのほとんどは、脆弱性やデータ漏洩によって誰かが亡くなるような事態が発生しない限り、FDAへの報告義務はありません。人命に危険を及ぼす重大な脆弱性については、30日以内に顧客に報告し、60日以内に修正し、ISAO(国際標準化機構)と情報を共有する必要があります。
少なくとも一部のベンダーは、推奨ガイドラインのほとんど(すべてではないにせよ)に従うことを望んでいるでしょう。しかし、何らかの認証や評価システムがなければ、患者や病院にとって、デバイスが厳格なセキュリティを備え、購入後何年もサポートされるかどうかを知ることは困難です。
