よむ、つかう、まなぶ。
医療機器のサイバーセキュリティ導入に関する手引書の改訂について (38 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
| 出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
五十
音順
定義した用語
出典
共通脆弱性評価システム(CVSS)
情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依
存しない共通の評価方法を提供。CVSS を用いると、脆弱性の深刻度を同一の基準
の下で定量的に比較可能である。
IPA 共通脆弱性評価システム CVSS v3 概説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
こ
攻撃
資産の破壊、暴露、改ざん、無効化、盗用、又は認可されていないアクセス若しく
は使用の試み
JIS Q 27000:2019
さ
サイバーセキュリティ
情報及びシステムが不正な活動(不正なアクセス、使用、開示、中断、改変、破壊
等)から保護されており、機密性、完全性、可用性に関するリスクがライフサイク
ル全体に渡って受容可能なレベルに維持されている状態
JIS T 81001-1:2022、
IMDRF ガイダンス和訳
より
サポート終了(End of Support:EOS)
製品のライフサイクルにおいて、製造業者が全てのサポート活動を中止する時点。
サービスサポートは、この時点を超えない。
IMDRF ガイダンス和訳
より
資産
個人、組織又は政府にとって価値のある、物理的又はデジタル形式のエンティティ
ISO/IEC JTC 1/SC 41
N0317、 2017-11-12
し
情報共有分析機関(Information Sharing and Analysis Organizations:ISAO)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、使用者との連絡や調整を含
む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪用を最小
限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を支援する
ことが可能である。情報共有分析センター(Information Sharing and Analysis
Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連及び JAHIS(一般社団法人保健
医療福祉情報システム工業会)はオブザーバーとして参加しており、この各加盟団
体及び加盟企業は医療セプターのサイバーセキュリティ情報を活用できる。
侵入試験(ペネトレーションテスト)
侵入試験は組織のサーバやネットワークシステムに対して攻撃者が実際に侵入で
きるかどうかという点に着目して検査を行う。そのため、運用上のシステムに残存
している既知の脆弱性を狙ったり、設計段階での不備を突いたりして実施すること
になる。
IPA https://www.ipa.go.jp/security/vuln/fuzz̲faq.html
信頼境界
認証が要求される又は信頼レベルの変更(高いレベルから低いレベルへ、又はその
逆)が起こる箇所である境界を表現する脅威モデルの要素
注釈 1:製品の使用者に対する信頼境界の実施メカニズムは、通常、認証(例えば、
チャレンジ・レスポンス、パスワード、生体認証又はデジタル署名)
、関連する権限
付与(例えば、アクセスコントロールルール)等がある。
注釈 2:データに対する信頼境界の実施メカニズムは、通常、ソース認証(例えば、
メッセージ認証コード及びデジタル署名)及び/又はコンテンツの検証等がある。
37
38 / 39
JIS T81001-5-1 原案より
音順
定義した用語
出典
共通脆弱性評価システム(CVSS)
情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依
存しない共通の評価方法を提供。CVSS を用いると、脆弱性の深刻度を同一の基準
の下で定量的に比較可能である。
IPA 共通脆弱性評価システム CVSS v3 概説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
こ
攻撃
資産の破壊、暴露、改ざん、無効化、盗用、又は認可されていないアクセス若しく
は使用の試み
JIS Q 27000:2019
さ
サイバーセキュリティ
情報及びシステムが不正な活動(不正なアクセス、使用、開示、中断、改変、破壊
等)から保護されており、機密性、完全性、可用性に関するリスクがライフサイク
ル全体に渡って受容可能なレベルに維持されている状態
JIS T 81001-1:2022、
IMDRF ガイダンス和訳
より
サポート終了(End of Support:EOS)
製品のライフサイクルにおいて、製造業者が全てのサポート活動を中止する時点。
サービスサポートは、この時点を超えない。
IMDRF ガイダンス和訳
より
資産
個人、組織又は政府にとって価値のある、物理的又はデジタル形式のエンティティ
ISO/IEC JTC 1/SC 41
N0317、 2017-11-12
し
情報共有分析機関(Information Sharing and Analysis Organizations:ISAO)
サイバーセキュリティ関連情報の収集、分析、共有及び発信のために設置された組
織。製造販売業者が ISAO に積極的に参加することで、使用者との連絡や調整を含
む展開を通じて、サイバーセキュリティの脆弱性に積極的に取り組み、悪用を最小
限に抑えることで、企業、医療機器コミュニティ、医療・公衆衛生分野を支援する
ことが可能である。情報共有分析センター(Information Sharing and Analysis
Centers:ISAC)と呼ばれる組織もある。
国 際 的 な 組 織 と し て 、 H-ISAC ( Health Information Sharing and Analysis
Center:https://h-isac.org/)がある。国内では、NISC(内閣サイバーセキュリティ
センター)によって立ち上がった情報共有組織セプターのひとつ医療セプター(事
務局:日本医師会情報システム課)がある。医機連及び JAHIS(一般社団法人保健
医療福祉情報システム工業会)はオブザーバーとして参加しており、この各加盟団
体及び加盟企業は医療セプターのサイバーセキュリティ情報を活用できる。
侵入試験(ペネトレーションテスト)
侵入試験は組織のサーバやネットワークシステムに対して攻撃者が実際に侵入で
きるかどうかという点に着目して検査を行う。そのため、運用上のシステムに残存
している既知の脆弱性を狙ったり、設計段階での不備を突いたりして実施すること
になる。
IPA https://www.ipa.go.jp/security/vuln/fuzz̲faq.html
信頼境界
認証が要求される又は信頼レベルの変更(高いレベルから低いレベルへ、又はその
逆)が起こる箇所である境界を表現する脅威モデルの要素
注釈 1:製品の使用者に対する信頼境界の実施メカニズムは、通常、認証(例えば、
チャレンジ・レスポンス、パスワード、生体認証又はデジタル署名)
、関連する権限
付与(例えば、アクセスコントロールルール)等がある。
注釈 2:データに対する信頼境界の実施メカニズムは、通常、ソース認証(例えば、
メッセージ認証コード及びデジタル署名)及び/又はコンテンツの検証等がある。
37
38 / 39
JIS T81001-5-1 原案より