2022年12月29日、2023年「オムニバス」または統合歳出法が署名された。オムニバスの第3305条「医療機器のサイバーセキュリティの確保」は、連邦食品医薬品化粧品法(FD&C法)を改正し、第524B条「機器のサイバーセキュリティの確保」を追加した。FD&C法の改正は2023年3月29日に施行された。
この新しい法律は、食品医薬品局(FDA)に対し、医療機器メーカーが市場に投入される前に、その製品に設計によるセキュリティを含めるか、サイバーセキュリティ保護を追加する措置を講じることを義務付ける権限を与えるものである。サイバーセキュリティの設計とベストプラクティスに関する要件は、今後市場に出回るすべての医療機器に適用され、政府説明責任局は、この法律の要件の採用と実施に関する課題を収集し、報告することを任務としている。
以下では、何が変わるのか、新規制の内容、どのような医療機器がリスクにさらされるのか、NISTサイバーセキュリティフレームワークを実施するためのガイダンスについて説明する。
レギュレーションで何が変わるのか?
FDA長官は、製造業者、医療従事者、消費者、影響を受ける第三者、およびその他の利害関係者からの分野別のフィードバックを取り入れるために、官民パートナーシップの中で作業を継続する。オムニバスの改正は、あらゆるインターネット・オブ・シングス型の機器や技術にわたる規制の先例となる可能性がある。この法律の最大の特徴は、製品が市場に投入される前にセキュリティを提供し、デバイスのライフサイクル中に発生するセキュリティ問題に適切に対処することを広く義務付けていることである。
この計画には、脆弱性の開示、情報共有、インシデントレスポンス計画を通じて、脆弱性や悪用の監視、検出、是正を行う計画、製造する機器にセキュアな設計機能が含まれていることを保証する計画、ソフトウェアの脆弱性が発見され開示された場合にアップデートやパッチを提供する計画、各機器に含まれるすべてのコンポーネント(商用/プロプライエタリ、オープンソース、既製またはサードパーティのソフトウェアコンポーネントを含む)の完全なソフトウェア部品表を提供する計画などが含まれる。
同法案はまた、GAOに報告書の作成とレビューを課すこと、医療機器のサイバーセキュリティ管理のための市販前申請の内容に関するガイダンスを公表すること、機器のサイバーセキュリティ向上に関する公的リソースを提供すること、米国会計検査院による報告書の発行など、政府の要求事項を増加させ、"連邦政府機関全体で脆弱性に対処するための連邦政府の支援にアクセスする際の利害関係者の課題、連邦政府機関が機器のサイバーセキュリティをよりよく支援するためにどのように連携を強化できるか、機器のサイバーセキュリティを向上させるための法的制限と機会 "を評価する。
セクション524Bの追加により、デバイスメーカーが競争すべき新たなカテゴリー、サイバーセキュリティが誕生する。デバイスの悪用は、それらが展開されるネットワークや環境と大いに関係があるだろうが、ここでの要件は、セクター全体に対して一般的で包括的なガイダンスを提供するのではなく、業界に対する特定のセキュリティの考慮事項に対処し始めることになる。これは、成果ベースのサイバーセキュリティ規制を追求するための正しい方向への動きである。時間をかけてその進捗状況を検証し、機器の設計、市場投入、展開の方法について重要な学びを得ることができるだろう。残念ながら、現在配備されている安全でない機器やレガシー・テクノロジーに対する懸念は解消されない。
何が対象か?
オムニバス法における "サイバーデバイス "とは、"スポンサーによって検証、インストール、または認可されたソフトウェア、インターネットに接続する能力、スポンサーによって検証、インストール、または認可された、サイバーセキュリティの脅威に脆弱である可能性のあるそのような技術的特徴を含むもの "を広く含む。この定義には、インターネットに接続された「スマート」技術、診断、モニタリング、ウェアラブル機器、薬剤を投与するインスリンポンプや疼痛管理ポンプ、モバイルテレメトリー機器、特定のペースメーカー、心臓除細動器など、医療機器のインターネット(IoMT)が含まれる。
しかし、基本的なセキュリティ対策とベストプラクティスがあっても、デバイスのセキュリティのみに焦点を当てることで、医療分野のサイバーセキュリティの懸念がすべて解消されるわけではない。製造業者向けのデバイス固有の対策は、デバイスとエンドポイントのセキュリティに取り組んでおり、アクセスと悪用能力を制限することで、より優れたデータセキュリティを実現する可能性もある。しかし、何千台ものベンダー・デバイスを大規模に展開する大規模ネットワークには、ネットワークセキュリティ、ゼロトラスト、ネットワーク・セグメンテーションの他にも複雑な問題があり、最悪のシナリオを防ぐためには注意が必要です。
ヘルスケアのリスクとは?
オペレーションと施設のサイバーセキュリティは、重要な人々が集まり、リソース、機器、人員の安全な移動が不可欠な病院という環境において、間違いなく最も重要である。大手企業やプロバイダーは、毎年何百万人もの患者にサービスを提供し、何万人もの従業員を抱える巨大なキャンパス(中には小さな都市に相当するものもある)の管理に苦慮しています。
ヘルスケアのレガシーテクノロジーは、どこにでもあり、交換するには高価であり、よく知られたサイバー攻撃の手口や、一般に公開されつつある脆弱性と暴露(CVEs)のリストから悪用されやすい。Windows XPやWindows 7のような時代遅れのソフトウェアを実行しているケースも多く、重要なパッチやアップデートを適用する仕組みも限られています。現在使用されているレガシー医療技術の各コンポーネントを追跡し、安全性を確保し、継続的に強化する能力は、リソースによって制限されている。
Palo AltoNetworks Unit 42 Threat Researchの調査によると、医療機器は病院ネットワークの中で最も脆弱なリンクであり、致命的な脆弱性を抱えている:
- 調査対象となった輸液ポンプの75%に、少なくとも1つの脆弱性が存在するか、少なくとも1つのセキュリティ警告が表示された。
- X線、MRI、CTスキャナなどの画像機器は特に脆弱性が高く、X線装置全体の51%が深刻度の高い「共通脆弱性(Common Vulnerabilities and Exposures)」(CVE-2019-11687)にさらされていた。
- CTスキャナーの44%、MRI装置の31%が深刻度の高いCVEにさらされた
- 一般的な画像処理機器の20%が、サポートされていないバージョンのWindowsを使用していた。
NIST CSFを実施するためのHHSガイダンス
同時に2023年3月、米国保健社会安全省(HHS)は "Health Care and Public Health Sector Cybersecurity Framework Implementation Guide"を発表した。このガイドは、NISTサイバーセキュリティフレームワーク(CSF)を実施する際に、病院やヘルスケアプロバイダー、施設を支援するための拘束力のない出版物である。
HHSが説明するように、「組織はサイバーセキュリティの課題に対処するための実践的なアプローチを必要としている。取締役会と経営幹部は、サイバーセキュリティ管理に関する意思決定がどのように行われるかについて、より深い洞察を求めている。HHS ガイダンスは、取締役会が検討すべき 5 つの主要なカテゴリーを網羅している:
- サイバーセキュリティをITの問題だけでなく、企業全体のリスク管理の問題として捉える
- サイバーリスクの法的意味合いを理解し、企業の具体的な状況に適用する。
- 取締役会がサイバーセキュリティの専門知識を十分に利用できるようにし、取締役会の議題としてサイバーリスク管理に関する議論に定期的かつ十分な時間を確保する。
- 経営陣が全社的なサイバーリスク管理の枠組みを確立することを期待する。
- 取締役会と組織経営陣の間で行われるサイバーリスクに関する議論に、回避、受容、軽減、保険による移転のいずれかのリスクと、各アプローチに関連する具体的な計画の特定を含める。
今日、医療・ヘルスケアシステム、ネットワーク、環境において、脅威行為者の滞留時間を短縮し、その被害レベルを軽減するためには、モニタリングと可視化が重要な鍵を握っています。また、問題の原因がサイバー脅威者なのか、機器の誤動作なのか、設定ミスなのか、ランサムウェアの状況なのかを判断するための根本原因分析も必要です。最近の調査では、医療機器メーカー自身が、セキュリティ上の最重要課題として「高度な所有権の欠如もあるが、増大するツールや技術の管理」を挙げていることから、セキュリティの重要性はこれまで以上に高まっている。
信頼され、責任あるサイバーセキュリティ・リーダーには、成熟したセキュリティプログラムを構築するために考慮すべき4つのことがある:
- ネットワーク状況: 見えないものは守れないとよく言われるが、環境内で通信しているマシンやコンピュータのインベントリの動的でリアルタイムのステータスマップがなければ、サイバーインシデントの根本原因を理解するために災難や事故を調査することもできない
。 - 製品の脆弱性: 脆弱性はすべて同じではなく、脆弱性がシステムの完全性と可用性に影響を与える程度は様々である。脆弱性の中には、数種類のソフトウエア機能またはインターフェイスにのみ適用されるという限定的な範囲を持つものもあれば、その重大性を緩和する追加的な補償制御を持つものもある。
- 攻撃者の能力: 多くの医療機器にとって、主な攻撃対象はSSH経由のデフォルト認証情報である。
攻撃者は一旦侵入すると、基本的なオペレーティングシステムを確認し、シ ステムにインストールするペイロードを決定する。 - データは豊富だが情報は乏しい:ネットワーク運用のための行動分析と異常検知は、threat intelligence 、全体的なセキュリティ態勢を強化することができる。継続的なモニタリングと分析により、セキュリティ・リーダーは予期せぬ運用上の変化や基本動作からの逸脱の根本原因を診断することができます。
