よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (33 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
関係
上流のコンポーネント X がソフトウェア Y に含まれてい
るというソフトウェアアーキテクチャー上の関係を特徴
づける情報
作成者名
SBOM エントリーの作成者
タイムスタンプ
SBOM データの集約を行った日時の記録
含める基本要素に加えて、製造販売業者は、SBOM フォーマットについても検討することが必要であ
る。現時点では、自動化が可能な標準的な SBOM フォーマットは、限定的である(Cyclone DX、
SPDX 及び SWID)。これらのフォーマットについての追加情報並びに医療機器に対する SPDX 及び
SWID の詳細例が、NTIA の“How to Guide for SBOM Generation(SBOM 作成のハウツーガイド)”に
記載されている。
A.4 SBOM の提供
製造販売業者は、製品の顧客向けセキュリティ文書のひとつとして、医療機器の使用者に対して
SBOM を提供する。既に MDS2 の附属文書として提供されている場合もある。その他、製品又は製造
販売業者のウェブサイトに掲載する場合や、電子ファイル又は表示のためのアプリケーションプログラ
ミングインターフェイス(API)として提供する場合がある。また、医療機器に SBOM を内蔵して提供
することも可能であろう。SBOM を配布するための最良の方法は一つだけではなく、標準化された、自
動検出・交換メカニズムを使用することが望ましい。
医療機器は、頻繁に更新されるので、ネットワーク経由の標準化した方法によって製品及びソフトウ
ェアバージョンを簡単に特定する仕組みで、自動更新をサポートすることが望ましい。
医療機器の SBOM は、覚書等の合意文書、契約、使用許諾等によって、機密情報として分類して扱
われることが望ましい。製造販売業者から外部の受信者(規制当局及び医療機関)へのコミュニケーシ
ョンチャネルは、文書が漏洩し、その結果、サイバーリスクの露出が増えることになる可能性を減らす
ために、保護手段をサポートする必要がある。
A.5 SBOM の事例
A.5.1 SBOM の構成(アーキテクチャーの展開)
製造販売業者(MDM1)が、図 5 に示す医療機器(Medical Device 2:3つのソフトウェアコンポーネ
ント(Windows 10, Adobe Acrobat DC, Java (JRE))から構成されている)の SBOM を作成する場合を
考える。SBOM のフォーマットは特定しないが、表 4 に示す要素を表形式で表すと例えば表 5 のように
なる。
32
33 / 39
上流のコンポーネント X がソフトウェア Y に含まれてい
るというソフトウェアアーキテクチャー上の関係を特徴
づける情報
作成者名
SBOM エントリーの作成者
タイムスタンプ
SBOM データの集約を行った日時の記録
含める基本要素に加えて、製造販売業者は、SBOM フォーマットについても検討することが必要であ
る。現時点では、自動化が可能な標準的な SBOM フォーマットは、限定的である(Cyclone DX、
SPDX 及び SWID)。これらのフォーマットについての追加情報並びに医療機器に対する SPDX 及び
SWID の詳細例が、NTIA の“How to Guide for SBOM Generation(SBOM 作成のハウツーガイド)”に
記載されている。
A.4 SBOM の提供
製造販売業者は、製品の顧客向けセキュリティ文書のひとつとして、医療機器の使用者に対して
SBOM を提供する。既に MDS2 の附属文書として提供されている場合もある。その他、製品又は製造
販売業者のウェブサイトに掲載する場合や、電子ファイル又は表示のためのアプリケーションプログラ
ミングインターフェイス(API)として提供する場合がある。また、医療機器に SBOM を内蔵して提供
することも可能であろう。SBOM を配布するための最良の方法は一つだけではなく、標準化された、自
動検出・交換メカニズムを使用することが望ましい。
医療機器は、頻繁に更新されるので、ネットワーク経由の標準化した方法によって製品及びソフトウ
ェアバージョンを簡単に特定する仕組みで、自動更新をサポートすることが望ましい。
医療機器の SBOM は、覚書等の合意文書、契約、使用許諾等によって、機密情報として分類して扱
われることが望ましい。製造販売業者から外部の受信者(規制当局及び医療機関)へのコミュニケーシ
ョンチャネルは、文書が漏洩し、その結果、サイバーリスクの露出が増えることになる可能性を減らす
ために、保護手段をサポートする必要がある。
A.5 SBOM の事例
A.5.1 SBOM の構成(アーキテクチャーの展開)
製造販売業者(MDM1)が、図 5 に示す医療機器(Medical Device 2:3つのソフトウェアコンポーネ
ント(Windows 10, Adobe Acrobat DC, Java (JRE))から構成されている)の SBOM を作成する場合を
考える。SBOM のフォーマットは特定しないが、表 4 に示す要素を表形式で表すと例えば表 5 のように
なる。
32
33 / 39