よむ、つかう、まなぶ。
医療機関における医療機器のサイバーセキュリティ導入に関する手引書について (13 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000190382_00013.html |
出典情報 | 薬事・食品衛生審議会 医療機器・再生医療等製品安全対策部会(令和5年度第1回 7/20)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
・ネットワークの各要素、保存情報、サービス及びアプリケーションへのアクセス制
御
・現在の全ての資産を特定し、将来的な構成の変更を追跡するための、構成管理方法
の採用(ネットワーク構成図等の作成、管理等)
・製造販売業者が推奨する設定及び保護対策の適用
・医療機器の通信を制限するネットワークアクセスコントロール
・確実且つ遅滞なくセキュリティアップデートを適用するためのマネジメント
・攻撃を予防するためのマルウェア対策
・無人状態で長時間放置されている医療機器に対する不正アクセスを防ぐためのセッ
ションタイムアウト
3)全てのユーザーに対するトレーニング/教育
医療機関は、施設内におけるサイバーセキュリティのインシデントの発生を防止するた
め、医師、看護師、臨床工学技士、臨床検査技師等、全ての関係者のセキュリティに対
する意識を高め、安全性の高い行動を習慣付けるための基本的なサイバーセキュリティ
トレーニングを実施することが求められます。また、在宅医療機器等、患者自身が操作
する医療機器については、患者に対する同様のトレーニングも必要です。
[トレーニング内容の例]
・セキュアなネットワークのみへの接続等
・医療機器のセキュアな操作方法、ランダムなシャットダウン/再起動、セキュリティ
ソフトウェアの一時的無効化等
・医療機器の異常動作を検知して通知する方法等
②情報共有
1) 医療機関
医療機関は、サイバーセキュリティ確保のための推奨事項を実施し、患者安全を確保す
るために必要なあらゆる情報にアクセスすることが求められます。これによりサイバー
セキュリティのインシデントが発生した場合でも、影響を受けた医療機器に関する情報
や、現場で実施する修正策や緩和策の難易度や効果に関する情報を医療機器事業者等に
フィードバックすることが可能になります。
2) ユーザー(医師、患者、介護者、消費者等)
アップデート又はその他の修正の適用要否に係る最終判断を適切に行うため、医療セプ
ター、医療機器事業者等から提供される情報を把握しておくことが必要です。
③協調的な脆弱性の開示(CVD)
製造販売業者が、自社の医療機器に影響が大きい一般的な脆弱性が発見された、又は他
で発見された脆弱性が自社の医療機器に大きく影響する場合、その脆弱性情報(共通脆
弱性識別子 CVE:Common Vulnerabilities and Exposures 等)とともにセキュリティ
アドバイザリーを開示する必要がありますが、その緩和策及び補完的対策が立案できて
いない状況で開示すれば、即座にサイバー攻撃の標的になってしまうこともあります。
従って、脆弱性情報を開示するタイミングには注意を要します。脆弱性の影響が大きく、
広く一般的である場合は、自社の対策だけでなく、場合によっては分野を超えた連携が
11
13 / 22
御
・現在の全ての資産を特定し、将来的な構成の変更を追跡するための、構成管理方法
の採用(ネットワーク構成図等の作成、管理等)
・製造販売業者が推奨する設定及び保護対策の適用
・医療機器の通信を制限するネットワークアクセスコントロール
・確実且つ遅滞なくセキュリティアップデートを適用するためのマネジメント
・攻撃を予防するためのマルウェア対策
・無人状態で長時間放置されている医療機器に対する不正アクセスを防ぐためのセッ
ションタイムアウト
3)全てのユーザーに対するトレーニング/教育
医療機関は、施設内におけるサイバーセキュリティのインシデントの発生を防止するた
め、医師、看護師、臨床工学技士、臨床検査技師等、全ての関係者のセキュリティに対
する意識を高め、安全性の高い行動を習慣付けるための基本的なサイバーセキュリティ
トレーニングを実施することが求められます。また、在宅医療機器等、患者自身が操作
する医療機器については、患者に対する同様のトレーニングも必要です。
[トレーニング内容の例]
・セキュアなネットワークのみへの接続等
・医療機器のセキュアな操作方法、ランダムなシャットダウン/再起動、セキュリティ
ソフトウェアの一時的無効化等
・医療機器の異常動作を検知して通知する方法等
②情報共有
1) 医療機関
医療機関は、サイバーセキュリティ確保のための推奨事項を実施し、患者安全を確保す
るために必要なあらゆる情報にアクセスすることが求められます。これによりサイバー
セキュリティのインシデントが発生した場合でも、影響を受けた医療機器に関する情報
や、現場で実施する修正策や緩和策の難易度や効果に関する情報を医療機器事業者等に
フィードバックすることが可能になります。
2) ユーザー(医師、患者、介護者、消費者等)
アップデート又はその他の修正の適用要否に係る最終判断を適切に行うため、医療セプ
ター、医療機器事業者等から提供される情報を把握しておくことが必要です。
③協調的な脆弱性の開示(CVD)
製造販売業者が、自社の医療機器に影響が大きい一般的な脆弱性が発見された、又は他
で発見された脆弱性が自社の医療機器に大きく影響する場合、その脆弱性情報(共通脆
弱性識別子 CVE:Common Vulnerabilities and Exposures 等)とともにセキュリティ
アドバイザリーを開示する必要がありますが、その緩和策及び補完的対策が立案できて
いない状況で開示すれば、即座にサイバー攻撃の標的になってしまうこともあります。
従って、脆弱性情報を開示するタイミングには注意を要します。脆弱性の影響が大きく、
広く一般的である場合は、自社の対策だけでなく、場合によっては分野を超えた連携が
11
13 / 22