テュフ ラインランド ジャパン、医療機器のサイバーセキュリティ テストサービスを開始
テュフ ラインランド ジャパン株式会社(本社:神奈川県横浜市、代表取締役社長:トビアス・シュヴァインフルタ―)は、本日、「医療機器のサイバーセキュリティ テストサービス」を開始することを発表しました。本日より提供を開始し、2021年内に15件の受注を見込んでいます。
医療機器がネットワークにつながるようになり、医療機関のITシステムにセキュリティ上の問題が生じています。例えば、医療機器内部のソフトウェアに潜む脆弱性を突かれることにより、医療機器の機能が乗っ取られたり、医療機器を踏み台にして病院のシステムにもウィルスが感染した事例など、セキュリティ事故が世界各国で報告されています。
本サービスでは、国内の医療機器ベンダーが昨今のセキュリティリスクに対処できるよう、サイバーセキュリティの専門家が医療機器のハードウェアとソフトウェアに潜む脆弱性をテストし、その脆弱性が悪用された際に起こり得る問題やリスク分析を行います。
海外の動向と日本の医療機器業界がおかれている現状
北米では、米国食品医薬品局(FDA)から医療機器のサイバーセキュリティに関連するガイドダンス文章を2018年までに発行し、積極的にサイバーセキュリティ対応を行っています。また、2020年5月には、国際医療機器規制当局フォーラム(IMDRF)より、「医療機器サイバーセキュリティの原則および実践に関するガイダンス」が発表されました。
これを受けて、日本厚生労働省は同年5月に、今後3年程度を目途に、医療機器の製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っていることを、各都道府県衛星主管部(局)長あてに周知しています。https://www.mhlw.go.jp/hourei/doc/tsuchi/T200521I0040.pdf
早ければ2022年度からガイダンスに従った審査が開始され、医療機器のサイバーセキュリティのリスクマネジメント対策が求められるようになる見込みです。今までは、米国やEUに輸出する医療機器だけ対策が必須でしたが、今後は国内で販売する医療機器も対策が必須になる可能性が高まっています。
医療機器のサイバーセキュリティ テストサービス
本サービスでは、機器のOSやプログラミング言語、稼働中のサービス、外部接続端子の種類などを確認し、適切なテストプランを作成し、医療機器のどこに問題があるのか、脆弱性について確認します。病院という特殊な環境で使用される医療機器は、医療機器がどのように使われるか十分理解した専門家が必要なテスト項目を網羅し、実施します。
1. テストの範囲
テュフ ラインランド ジャパンは、長年にわたる医療機器に携わってきた知見をいかし、医療機器に特化したサイバーセキュリティテストを行います。テストは、以下の3つの観点を重視しています。
2. 主張テストの内容
医療機器がネットワークにつながるようになり、医療機関のITシステムにセキュリティ上の問題が生じています。例えば、医療機器内部のソフトウェアに潜む脆弱性を突かれることにより、医療機器の機能が乗っ取られたり、医療機器を踏み台にして病院のシステムにもウィルスが感染した事例など、セキュリティ事故が世界各国で報告されています。
本サービスでは、国内の医療機器ベンダーが昨今のセキュリティリスクに対処できるよう、サイバーセキュリティの専門家が医療機器のハードウェアとソフトウェアに潜む脆弱性をテストし、その脆弱性が悪用された際に起こり得る問題やリスク分析を行います。
海外の動向と日本の医療機器業界がおかれている現状
北米では、米国食品医薬品局(FDA)から医療機器のサイバーセキュリティに関連するガイドダンス文章を2018年までに発行し、積極的にサイバーセキュリティ対応を行っています。また、2020年5月には、国際医療機器規制当局フォーラム(IMDRF)より、「医療機器サイバーセキュリティの原則および実践に関するガイダンス」が発表されました。
これを受けて、日本厚生労働省は同年5月に、今後3年程度を目途に、医療機器の製造販売業者に対してIMDRFガイダンスの導入に向けて検討を行っていることを、各都道府県衛星主管部(局)長あてに周知しています。https://www.mhlw.go.jp/hourei/doc/tsuchi/T200521I0040.pdf
早ければ2022年度からガイダンスに従った審査が開始され、医療機器のサイバーセキュリティのリスクマネジメント対策が求められるようになる見込みです。今までは、米国やEUに輸出する医療機器だけ対策が必須でしたが、今後は国内で販売する医療機器も対策が必須になる可能性が高まっています。
医療機器のサイバーセキュリティ テストサービス
本サービスでは、機器のOSやプログラミング言語、稼働中のサービス、外部接続端子の種類などを確認し、適切なテストプランを作成し、医療機器のどこに問題があるのか、脆弱性について確認します。病院という特殊な環境で使用される医療機器は、医療機器がどのように使われるか十分理解した専門家が必要なテスト項目を網羅し、実施します。
1. テストの範囲
テュフ ラインランド ジャパンは、長年にわたる医療機器に携わってきた知見をいかし、医療機器に特化したサイバーセキュリティテストを行います。テストは、以下の3つの観点を重視しています。
- IoT機器: 医療機器もIoT機器の一種です。IoT機器のリスクや脆弱性に関する深い 知見をもって試験を行います。
- 各種ガイダンス: 各国の各種のガイダンスの要求事項に関する最新の情報を入手し、これに基づくテストを行います。
- 個人情報保護: サイバーセキュリティのリスクによっては、個人情報の保護が求められます。GDPRやHIPPA、改正個人情報保護法などへの対応も実績があります。
2. 主張テストの内容
ペンテスト (Penetration Test) |
ハッカーがよく行う攻撃手法を活用し、システムに侵入を試み、ソフトウェアの不具合や危険な設定、脆弱性等がないか検証します。 |
ファズテスト (Fuzz Test) |
意図的に本来想定されていないデータやネットワークトラフィックを機器に流し込む手法で、セキュリティ上の問題点を洗い出します。 |
脆弱性スキャン (Vulnerability Scanning) |
NVD (National Vulnerability Database) 等を参照し、システム構築に使用されているソフトウェア・ハードウェアに脆弱性がないか分析します。 |
ソースコードレビュー (Source Code Review) |
ソースコードの査読を行い、セキュリティ上危機、または推奨されないプログラミング手法が用いられていないかレビューを行います。 |
3. テストの成果物
脆弱性情報の整理 | システムに内在するセキュリティ上危険な設定や、脆弱性情報、危険なコーディング箇所について分析し、技術的な解説とともに整理します。 |
想定されるリスクの分析 | 発見されたリスクを放置しておいた場合に、どのような攻撃や障害を起こす可能性があるか分析します。 |
改善に向けての支援 | 見つかった脆弱性に関連して、ベストプラクティスなど技術情報を提供します。 |
なお、医療機器のサイバーセキュリティーの重要性について解説した動画を下記でご覧いただけます。
ご登録の上、ご視聴ください。
通勤時間の10分でわかる「医療機器のサイバーセキュリティ対策」動画
https://bit.ly/3mG27c4
【テュフ ラインランド グループについて】
テュフ ラインランドは、145年の歴史を持つ世界でもトップクラスの第三者検査機関です。グループの従業員数は全世界で20,000人、年間売上高は20億ユーロにのぼります。第三者検査のエキスパートとして、人々の暮らしのあらゆる面で、品質、安全、環境、テクノロジーを支えています。産業用装置や製品、サービスの検査だけではなく、プロジェクト管理や企業のプロセス構築もサポートしています。また幅広い業種、職種について、専門的なトレーニングも実施しています。こうしたサービスは、テュフ ラインランドの認定ラボや試験設備、教育センターのグローバルネットワークによって支えられています。テュフ ラインランドは、2006年より国連グローバル・コンパクトのメンバーとして活動しています。ウェブサイト: www.jpn.tuv.com
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像