よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (31 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
附
A.
属
書
ソフトウェア部品表(SBOM)の扱い
A.1 SBOM の全体的なフレームワーク
SBOM は、ソフトウェア部品のセキュリティ脆弱性に影響を受ける可能性のある医療機器のサイバー
セキュリティを製造販売業者及び医療機関が管理するために、製造販売業者が作成する、又は開発委託
先、OEM/ODM 先、海外製造元等から最終的な SBOM の提供を受ける場合等は、それが適切に作成さ
れていることを製造販売業者が確認し管理し発行する(図 4)。製造販売業者は、医療機器のライフサイ
クル全体を通して実施する構成管理・変更管理プロセス及び方法論によって、SBOM を作成、管理し、
ソフトウェアアーキテクチャー及びソフトウェア(を構成する)コンポーネントの情報に基づいて、
SBOM を手動又はツールによって生成する。ベンダーから入手した SBOM は個別に管理するととも
に、ソフトウェアコンポーネントの情報(SBOM コンテンツ)は、内部の構成管理に取り込む。
図 4 SBOM の全体的なフレームワーク
A.2 SBOM の作成
SBOM は、内部の構成管理のために、従来から実施している方式で、ソフトウェア部品の情報が管理
できる場合は、継続的に維持していけばよいが、新たに構成管理の方式を検討する場合は、SBOM フォ
ーマットを使用したソフトウェア部品の情報からなる SBOM コンポーネントリポジトリー注)を利用し
て構築してもよい。これらの仕組みによって、医療機器のライフサイクル全体を通して、ソフトウェア
30
31 / 39
A.
属
書
ソフトウェア部品表(SBOM)の扱い
A.1 SBOM の全体的なフレームワーク
SBOM は、ソフトウェア部品のセキュリティ脆弱性に影響を受ける可能性のある医療機器のサイバー
セキュリティを製造販売業者及び医療機関が管理するために、製造販売業者が作成する、又は開発委託
先、OEM/ODM 先、海外製造元等から最終的な SBOM の提供を受ける場合等は、それが適切に作成さ
れていることを製造販売業者が確認し管理し発行する(図 4)。製造販売業者は、医療機器のライフサイ
クル全体を通して実施する構成管理・変更管理プロセス及び方法論によって、SBOM を作成、管理し、
ソフトウェアアーキテクチャー及びソフトウェア(を構成する)コンポーネントの情報に基づいて、
SBOM を手動又はツールによって生成する。ベンダーから入手した SBOM は個別に管理するととも
に、ソフトウェアコンポーネントの情報(SBOM コンテンツ)は、内部の構成管理に取り込む。
図 4 SBOM の全体的なフレームワーク
A.2 SBOM の作成
SBOM は、内部の構成管理のために、従来から実施している方式で、ソフトウェア部品の情報が管理
できる場合は、継続的に維持していけばよいが、新たに構成管理の方式を検討する場合は、SBOM フォ
ーマットを使用したソフトウェア部品の情報からなる SBOM コンポーネントリポジトリー注)を利用し
て構築してもよい。これらの仕組みによって、医療機器のライフサイクル全体を通して、ソフトウェア
30
31 / 39