よむ、つかう、まなぶ。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日) (40 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html |
| 出典情報 | 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(11/10付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
IMDRF/CYBER WG/N60FINAL:2020
セキュリティリスク評価
セキュリティリスクコントロール
セキュリティリスクコントロー
ル手段の選択
セキュリティリスクコントロー
ル手段の実施
残留リスクの評価
リスク・ベネフィットの分析
リスクコントロール手段によっ
て生じるリスク
リスクコントロールの完了
セキュリティリスクマネジメント
医療機器の意図する使用
及び医療機器のセキュリ
ティに関する特質の明確
化
脅威、脆弱性、資産、悪
影響の特定
該当する脅威と脆弱性の
組み合わせに関するリス
クの推定
セキュリティリスクアセスメント
セキュリティリスク分析
全体的な残留セキュリティリスク
の受容可能性評価
セキュリティリスク
マネジメント報告書
製造及び製造後の情報
図 1.
セキュリティリスクマネジメントプロセスの図解
(AAMI TIR57:2016 から許可を得て引用)
医療機器の規制に関するサイバーセキュリティのリスク分析は、サイバーセキュリティ
の脆弱性の悪用可能性、脆弱性が悪用された場合の患者危害の重大さを考慮して、患者
危害のリスク評価に注力することが望ましい。この分析においては、補完的対策及びリ
スク緩和策についても検討することが望ましい。
リスク評価においては、設計を脅威モデリング、患者危害、緩和策及び検証試験と連結
することにより、リスクが適切にマネジメントされるセキュアな設計アーキテクチャを
確立することが重要である。この評価では、セキュリティリスク評価、脅威モデリング
及び脆弱性スコアリングやその他の手法等、様々なツール及びアプローチが利用できる。
2020/3/18
Page 15 of 51
17/53 ページ
セキュリティリスク評価
セキュリティリスクコントロール
セキュリティリスクコントロー
ル手段の選択
セキュリティリスクコントロー
ル手段の実施
残留リスクの評価
リスク・ベネフィットの分析
リスクコントロール手段によっ
て生じるリスク
リスクコントロールの完了
セキュリティリスクマネジメント
医療機器の意図する使用
及び医療機器のセキュリ
ティに関する特質の明確
化
脅威、脆弱性、資産、悪
影響の特定
該当する脅威と脆弱性の
組み合わせに関するリス
クの推定
セキュリティリスクアセスメント
セキュリティリスク分析
全体的な残留セキュリティリスク
の受容可能性評価
セキュリティリスク
マネジメント報告書
製造及び製造後の情報
図 1.
セキュリティリスクマネジメントプロセスの図解
(AAMI TIR57:2016 から許可を得て引用)
医療機器の規制に関するサイバーセキュリティのリスク分析は、サイバーセキュリティ
の脆弱性の悪用可能性、脆弱性が悪用された場合の患者危害の重大さを考慮して、患者
危害のリスク評価に注力することが望ましい。この分析においては、補完的対策及びリ
スク緩和策についても検討することが望ましい。
リスク評価においては、設計を脅威モデリング、患者危害、緩和策及び検証試験と連結
することにより、リスクが適切にマネジメントされるセキュアな設計アーキテクチャを
確立することが重要である。この評価では、セキュリティリスク評価、脅威モデリング
及び脆弱性スコアリングやその他の手法等、様々なツール及びアプローチが利用できる。
2020/3/18
Page 15 of 51
17/53 ページ