日本クラウドセキュリティアライアンス（CSAジャパン）関西支部は、バイオコミュニティ関西（BiocK）様と共催で、関西発スマートヘルスケアにおけるグローバル展開支援共通ICT基盤の検討に向けて、健康医療／ライフサイエンス領域の技術者やクラウドユーザー、プラットフォーム関連サービス事業者等を対象に、ワークショップを実施します。

1. Cloud Security Alliance
Health Information Management WG
Seattle, WA, USA
クラウド接続した医療機器の
サイバーセキュリティ対策
(2021年7月28日)

2. 2

3. AGENDA
1. OWASP／Cloud Security Alliance
「OWASP セキュアな医療機器導入基準Version 2.0」
(2018年8月発行)
2. CSA Health Information Management WG
「クラウドに接続された医療機器の管理」
(2020年3月発行)
3. CSA Health Information Management WG
「医療サイバーセキュリティ・プレイブック」
(2021年7月発行)
4. CSA Health Information Management WG
「医療システムにおけるAI」（2021年中発行予定）
～SaMD(Software as a Medical Device)の視点～
5. Q&A／ディスカッション

4. 4
1. OWASP／Cloud Security Alliance
「OWASP セキュアな医療機器導入基準Version 2.0」
(2018年8月発行)
• 対象＝医療機器を導入する医療機関
• 目的：医療施設内における医療機器の
セキュアな導入のための包括的な指針を
提供する
出典：「OWASP Secure Medical Device Deployment Standard Version 2.0」（2018年8月）

5. 5
概要(1)
項目 内容
調達時のコントロール ・セキュリティ監査／評価
・プライバシー・インパクト評価
・サポート評価（例．セキュリティパッチ当て）
境界の防御 ・ファイアウォール
・ネットワーク侵入検知／予防システム（NIDS／NIPS）
・プロキシサーバー／Webフィルター
ネットワークセキュリティの
コントロール
・ネットワークのセグメント化
・内部ファイアウォール
・内部ネットワークのNIDS／NIPS
・Syslogサーバー
・ログのモニタリング
・脆弱性のスキャニング
・DNSシンクホール
出典：「OWASP Secure Medical Device Deployment Standard Version 2.0」（2018年8月）

6. 6
概要(2)
項目 内容
デバイスセキュリティの
コントロール
・デフォルト認証情報の変更
・アカウントのロックアウト
・セキュアな転送の実現
・ファームウェア／ソフトウェアのスペア・コピー
・デバイス構成のバックアップ
・ベースライン構成
・暗号化ストレージ
・異なるユーザーアカウント（例．特権ユーザー）
・管理インタフェースへのアクセス制限
・メカニズムの更新
・法令遵守のモニタリング
・物理的セキュリティ
出典：「OWASP Secure Medical Device Deployment Standard Version 2.0」（2018年8月）

7. 7
概要(3)
項目 内容
インタフェースと中央
ステーションのセキュリティ
・OSのハードニング
・暗号化された転送
・メッセージセキュリティ – HL7 v3セキュリティ標準規格
セキュリティテスト ・ペネトレーションテスト
インシデント対応 ・インシデント対応計画
・模擬的インシデント
出典：「OWASP Secure Medical Device Deployment Standard Version 2.0」（2018年8月）

8. 8
2.CSA Health Information Management WG
「クラウドに接続された医療機器の管理」(2020年3月発行)
• 対象＝医療機器を導入する医療機関
 イントロダクション
 医療機器のセキュリティライフサイクル
 調達前
 調達後／展開前
 展開／運用管理
 廃棄
 提言と結論
 参考文献
出典：CSA Health Information Management WG「Managing the Risk for Medical Devices
Connected to the Cloud」（2020年3月）

9. 9
イントロダクション
• 医療機器と患者の近接性を表す隔たりの程度
分離の程度 定義 機器サポート責任
段階0 機器が患者に埋め込まれている ベンダーおよび／または医師・医療スタッフ
段階1 機器が患者に接触する ベンダーまたは臨床工学
段階2 機器は患者に接触しないが、患者
の生命兆候または体液、データを
測定する
ベンダーまたは臨床工学
段階3 機器は患者に接触しないが、適切
な患者診断に重要なことを行う可
能性がある
ベンダーまたは臨床工学
段階4 機器は患者から離され、診断／臨
床機器よりも運用ツールである
ベンダーまたはIT
出典：CSA Health Information Management WG「Managing the Risk for Medical Devices
Connected to the Cloud」（2020年3月）

10. 10
医療機器のセキュリティライフサイクル
• ライフサイクルのフロー
出典：CSA Health
Information
Management WG
「Managing the Risk for
Medical Devices
Connected to the Cloud」
（2020年3月）
調達前
運用＆維持 調達後／展開前
情報提供依頼書
文書の収集
＆レビュー
構成レビュー
機器の維持
評価
セキュリティテスト

11. 11
調達前(1)
• 医療機器の調達意思決定＝医師、臨床工学、IT、情報
セキュリティが関与する部門横断的なプロセス
• 米国食品医薬品局（FDA)の医療機器サイバーセキュリ
ティ関連文書保存に関する医療機関向け推奨事項
1. 機器に関連するサイバーセキュリティリスクについてのハザード分析、低減、
設計上の考慮事項
2. 考慮されたリスクに対するサイバーセキュリティコントロールに紐付いた
トレーサビリティのマトリックス
3. 機器ライフサイクルを通して、検証済の更新やパッチを提供するための計画
4. ソフトウェアの完全性を保証するのに適切なセキュリティコントロールの概要
5. サイバーセキュリティコントロールに関する仕様を含む指示

12. 12
調達前(2)
• 製造業者による医療機器セキュリティ開示説明書(MDS2)
• 医療情報管理学会（HIMSS)と全米電気機器製造業
者協会(NEMA)が共同で策定した様式
• 機器に関する記述、プライベートデータ管理に関する情報、
機器のセキュリティ機能に関する情報が含まれる
• FDAの医療機関向け推奨事項であり、要求事項ではな
いが、国際医療機器規制当局フォーラム（IMDRF)の
「医療機器サイバーセキュリティ原則および実践」でも推奨
されている

13. 13
調達前(3)
• 脆弱性の重要度に基づくパッチ提供の製造業者向け
要求事項（例）
出典：CSA Health Information Management WG「Managing the Risk for Medical Devices
Connected to the Cloud」（2020年3月）
重要度 要求される時間
重要な 1週間
高 2週間
中 3週間
低 4週間

14. 14
調達後／展開前(1)
• ネットワーク／クラウド接続前の機器テストにおける
医療機関向け推奨事項
1. 構成のレビューや、調達前評価の間に収集した構成情報の検証：文書には、
すべての相互接続とデータフローダイアグラムに関する一覧表が含まれる。
2. 利用するすべての公開ポートおよびプロトコルを特定するための「Nmap」の
スキャン：
「Nmap」は、オープンソースのネットワーク探索・監査ツールである。
3. 「Nessus」や「Qualys」のような製品を利用した脆弱性スキャン：
4. 構成スキャン：
5. ペネトレーションテスト：
発見した脆弱性を有効活用するために、セキュリティエンジニアは、侵害され
た機器からのインストール、マルウェア、検索、ダウンロードなどのデータや、
機能無効化の試みについて調査すべきである。

15. 15
調達後／展開前(2)
• 追加テスト項目例
大項目 中項目 小項目
ネットワーク 偵察 ・マニュアルのレビュー
・技術仕様のレビュー
・構成のレビュー
発見 ・ネットワークポートの識別
・NMAP（ポートスキャンツール）
・ユーザーID／パスワードのテスト
・マニュアル／スクリプト化
・ブルートフォース（総当たり）攻撃の既知のパスワード
・Hydra – ブルートフォース攻撃を仕掛けるパスワード
脆弱性
スキャン
・脆弱性の識別
・Nessus／Qualys（脆弱性スキャンツール）
・検出結果の妥当性評価
・プロトコル固有のテスト：telnet、ssh、ftp、snmp、http、ssl (TLS)
の弱点
・認証のすり抜け（管理者以外＞管理者ユーザー）

16. 16
調達後／展開前(3)
• 追加テスト項目例(２)
大項目 中項目 小項目
Webアプリ
ケーション・
インタフェース
偵察 ・マニュアルのレビュー
・技術仕様のレビュー
・構成のレビュー
発見 ・Webアプリケーションポートの識別（NMAPから）
・Niktoを稼働させた発見
・スパイダーによるWebサイトのインデックス
・認証手法のテスト
・デフォルトのユーザーID／パスワード
・ブルートフォース（総当たり）攻撃の既知のパスワード
・Hydra – ブルートフォース攻撃を仕掛けるパスワード
脆弱性
スキャン
・Web Inspect／Burp Suiteスキャンの稼働
・特定のコードインジェクション脆弱性のテスト
・ページへの直接のアクセス – バイパスのテスト
・認証のすり抜け（管理者以外＞管理者ユーザー）

17. 17
調達後／展開前(4)
• 追加テスト項目例(3)
大項目 中項目 小項目
無線通信 偵察 ・マニュアルのレビュー
・技術仕様のレビュー
・構成のレビュー
発見 ・デバイスのアクセスポイント向けブロードキャストのスキャン
脆弱性
スキャン
・デバイスが未知のアクセスポイントに設定されていないことの保証
・その他の無線通信手法のテスト
・ZigBee
・Bluetooth
セキュアな通信
チャネル
・セキュアな通信テスト
・トラフィックのセキュリティと機密性を保証するための、トラフィックのスニッフィ
ング
・ブロードキャストの探索
・アウトバウンドや迷惑なトラフィック（ベンダー、クラウド、サードパーティ）の
探索
・その他の内部デバイスやサーバー、データベースとの通信

18. 18
展開／運用管理(1)
• 段階0:埋め込み医療機器をインターネット／クラウドに接続
する場合
• 埋め込み機器に加えて、インターネット／クラウドに接続するベースステーショ
ンおよびそれに接続する中間機器など、複数の機器が使用されるため、個々
の機器ごとに、アップグレードやパッチ当てを実行する必要がある
出典：CSA
Health
Information
Management
WG「Managing
the Risk for
Medical Devices
Connected to
the Cloud」
（2020年3月）
[埋め込み医療機器のコネクション]
埋め込み
人工内耳
輸血
ポンプ
ペース
メーカー ベース
ステーション タブレット／
スマートホン
クラウド

19. 19
展開／運用管理(2)
• 段階0:埋め込み医療機器をインターネット／クラウドに接続
する場合（続き）
• 医療機関が、セキュリティテストを完了し、すべての脆弱性を低減したとしても、
以下のような課題が残る。
1. 個々の機器は、どのようにして、アイデンティティ／アクセス管理を遂行
するか？
2. 医療機関は、どのようにして、発見された追加的な脆弱性が是正
されたかを保証するか？

20. 20
展開／運用管理(3)
• 段階1:機器が患者に接触する場合
• 機器の多くは、一旦、医療機関のネットワークに接続した上で、患者の
電子健康記録（EHR）やクラウドに接続される
• 段階０と同様に、アイデンティティ／アクセス管理とアップグレードや
パッチ当てが課題
• 標準化されたOSの1つを使用している時は、強力な認証を機器に追加す
べきである
• 機器を患者に接続し、使用している時は、アップグレードやパッチ当てでき
ない
• 医療機関は、セグメント化されたネットワークに機器を分離し、パッチ当て
できるまでの間、機器を保護するため、補完的なコントロールをネットワークに
適用スべきである
• ウイルス対策やエンドポイント保護機能が機器に追加できない場合、セグメ
ント化されたネットワーク経由で、データフローをコントロールスべきである

21. 21
展開／運用管理(4)
• 段階2:機器は患者に接触しないが、患者の生命兆候または
体液、データを測定する場合
• 機器を医療機関のネットワークに接続し、インターネット／クラウドに
データを送付することができるが、アイデンティティ／アクセス管理の
欠如が課題となる
• 認証の欠如は、機器およびクラウドの双方に脆弱性をもたらすので、少なく
ともPINのような基本的アクセスコントロール機能を設定すべきである
• 機器は、直接患者に接続されていないので、ベンダーから入手可能な
アップデートやパッチ当てを実行することは可能
• ベンダーは、機器の機能を変更しない点を保証するために、すべての
アップデートやパッチを承認する必要がある

22. 22
展開／運用管理(5)
• 段階3:機器は患者に接触しないが、適切な患者診断に重要
なことを行う可能性がある場合
• 機器が患者に接触することはないが、適切な患者診断のために、
機器の機能性や完全性が重要なことがある
• （例）放射線機器、臨床検査機器
• 優れたアイデンティティ／アクセス管理機能を有する機器もあれば、
利便性のためにログインを省略した機器もある
• クラウド上にデータを保存した時、アイデンティティ／アクセス管理の
欠如の問題が顕在化する
• ベンダーが、アップデートやパッチを承認したら、直ちに機器に適用する
必要がある

23. 23
展開／運用管理(6)
• 段階4:機器は患者から離され、診断／臨床機器よりも運用
ツールである場合
• 機器は、患者から分離された状態にあり、運用ツール的性格が強い
• （例）ベッドモニター
• 機器は、患者のケアには利用されないが、医療安全上、重要である
• 機器にアイデンティティ／アクセス管理機能が装備されていない
• ベンダーが、アップデートやパッチを承認したら、直ちに機器に適用する
必要がある

24. 24
提言と結論(1)
• リスク評価やセキュリティレビューを実施したら、認証に関する機器の
機能を強化する
• 証明書が機器の真正性を裏付ける場面では、PKI（公開鍵インフラ
ストラクチャ）を利用する
• 医療機器における信頼レベルを保証するデジタル証明書と、インフラス
トラクチャをモニタリングするアプリケーションを組み合わせて、資格の
ない機器へのアクセスを特定し、防止する
• ユーザーのスマートデバイス経由でインターネット／クラウドに接続す
る医療機器には、多要素認証（MFA）を導入する
• 認証機能のない医療機器の場合、認証ゲートウェイを使用する
• 継続的モニタリングにより、医療提供組織およびクラウドプロバイダー
の双方が望ましいセキュリティ動態を維持していることを保証する

25. 25
提言と結論(2)
• 医療機関は、CASBを活用して、どの機器がクラウドに接続している
か、どのデータがクラウドに送信されているか、データが送信されている
のはどのクラウドプロバイダーかを把握する
• 医療情報保護など、すべての規制上の要求事項を充足していることを
保証する
• クラウドセキュリティアライアンスの「クラウドコンピューティングの重大
脅威」を参照する

26. 26
3.CSA Health Information Management WG
「医療サイバーセキュリティ・プレイブック」(2021年7月発行)
• 対象＝新型コロナウイルス感染症（COVID-19）
パンデミック対応を経験した医療機関
 イントロダクション
 プライマリーターゲットとしての医療
 セキュアな医療の約束
 現在と将来のための拡張性
 時間、お金、資源
 ライフサイクル全体の管理
 セキュリティポスチャの向上
 結論
出典：CSA Health Information Management WG「Healthcare Security Playbook」（2021年7月）

27. 27
プライマリーターゲットとしての医療
• 医療産業の特徴
• 適正な医療を提供するためには、他産業よりも重大で長期に渡るリスクを
提起する大量の機微データの収集が求められる
• リスクの観点から、将来の潜在的損害を完全に低減することは不可能である
• より機微な医療および関連する個人データがクラウド上に移動するにつれて、
ターゲットの規模は成長し、データ容量は指数関数的に増加する
• 米国内のみで利用可能な卓越した医療サービスを求めて、世界中の患者が、
継続的に米国にやってくる
• 医療は、サプライチェーンリスク管理の研究でもある
• クラウドサービスを採用した組織は、いかなる新規CSPの採用も、「クラウド
のどこかにある」別の主体に、必ず自組織を拡張することになる点を認識する
• 医療におけるサイバーセキュリティとクラウド技術のスキルのギャップに取組む

28. 28
セキュアな医療の約束
• CSA STARのクラウド責任共有モデル
出典：CSA Health Information Management WG「Healthcare Security Playbook」（2021年7月）

29. 29
現在と将来のための拡張性
• 医療におけるクラウドコンピューティング活用の指針
• 1. クラウドコンピューティング向けのビジネスケースを構築する
• 2. 医療ソリューションに基づいて特定のクラウドを特定し、優先付けする
• 3. 適切なクラウド展開・サービスモデルを決定する
• 4. HIPAA遵守を遂行する：すべてのクラウドサービスやクラウドサービスプロバイダーに
関するエンタープライズリスク評価
• 5. すべてのセキュリティ／プライバシー要件への取組を保証する
• 6. 既存のエンタープライズシステムで、統合および相互運用性の事項を文書化する
• 7. すべてのSLAやKPIに関するクラウドサービス同意書およびモニタリングツールについて
交渉する
• 8. すべてのクラウドサービスおよびクラウドサービスプロバイダーをモニタリング／管理する
ための責任マトリックス／モデルを構築する
• 9.クラウドサービスおよびクラウドサービスプロバイダーの全体ポートフォリオに関するリスク
ダッシュボードを構築し、モニタリングする
• 10. すべての高リスクの公開課題に関する報告書を、関連配布物とともに維持する
• 11. 是正措置計画および状況を文書化する

30. 30
時間、金、資源
• リソース不足の背景：複雑化したシステム
• より独立したプロセスが存在し、高いセキュリティリスクがつくられている
• インタフェースや相互作用が多く存在し、高いセキュリティリスクが
つくられている
• モニタリングが比較的難しいために、テストや監査がなされていない部分が
ある可能性が高い
• セキュアな構築や展開が比較的難しい
• 従業員やステークホルダーが理解して、トレーニングを受けることが比較的
難しい
• 時間的制約：プロジェクト完了のために利用可能な時間量
• 費用的制約：プロジェクトのために利用可能な予算額
• 統合されたセキュリティシステムの構築が効果的な対応策となる

31. 31
ライフサイクル全体の管理
• データライフサイクルとは？
ライフサイクルのステージ 概要
生成(Create) データが生成、獲得、修正される
保存(Store) データがストレージレポジトリに委ねられる
利用(Use) データが他の種類の活動で処理、閲覧、利用される
共有(Shared) データや情報が他にアクセス可能なようにする
保管(Archived) データが長期ストレージに置かれる
破壊(Destroy) データが必要でなくなった時、物理的に破壊される

32. 32
セキュリティポスチャの向上
• セキュリティ意識の文化を構築し、リーダーシップの賛同を取り付け、
スタッフ全体を関与させながら乗り気にさせる
• セキュリティの利点に関する経営層の理解
• 従業員のエラーに起因する侵害を防止するためのトレーニング
• セキュリティ内部監査制度の創設
• オープンソースソフトウェア・サプライチェーン攻撃の防止
• インシデント対応におけるサードパーティのSaaSプロバイダーや
IaaSプロバイダーの管理
• クラウドプロバイダーの安全性や有効性に関する透明性と保証
• CSA CCM／CAIQの有効活用

33. 33
4.CSA Health Information Management WG
「医療システムにおけるAI」(2021年中発行予定)
• CSA HIM-WGで公開・作成中のドキュメント
• 「クラウドにおける医療ビッグデータ」（2020年7月公開）
• 「遠隔医療のリスク管理」（2021年6月公開）
• 「医療におけるブロックチェーン利用」（2021年7月公開）
• 「クラウドにおける医療データのプライバシー保護」
（2021年7/8月公開予定）
• 「医療産業におけるランサムウェア」（2021年8/9月公開予定）
• 「医療機器インシデント対応プレイブック」（2021年8/9月公開予定）
• 「医療におけるITガバナンス・リスク・コンプライアンス」
（2021年8/9月公開予定）
• 「医療システムにおけるAI」（2021年中発行予定）
• 「成功するベンダーリスク評価（VRA）プログラムの構築」・・・
次回
次回

34. 34
米国FDAデジタルヘルス・センター・オブ・エクセレンス(DHCoE)
「人工知能／機械学習（AI／ML）ベースのソフトウェア・
アズ・ア・メディカルデバイス（SaMD）行動計画」
(2021年1月公開)
• 定義
AIは、インテリジェントマシン、特にインテリジェントなコンピュータプログラムを作
る科学および工学と広く定義されている。人工知能は、データ統計分析に基づく
モデル、if-then文に本来依存しているエキスパートシステム、機械学習など、さ
まざまな技術を利用することができる。
MLは、データから学習し、稼働するソフトウェア・アルゴリズムを設計・教育する
ことができる人工知能技術である。ソフトウェア開発者は、機能が変わらないよ
うに「ロックされた」、または行動が新たなデータに基づき経時変化できるように
「適応的な」アルゴリズムを構築するために、機械学習を利用することができる。

35. 35
AI／MLベースSaMD行動計画の領域(1)
行動領域 概要
1. AI／MLベースのSaMD向
けテーラーメイドの規制フレーム
ワーク
・あらかじめ設定された変更コントロール計画に関するガイ
ダンスの発行など、AI／MLベースのSaMD向けに提案さ
れたフレームワークを更新する
2. グッド・マシンラーニング・
プラクティス（GMLP）
・グッド・マシンラーニング・プラクティス構築のハーモナイ
ゼーションを推奨する
＊医療機器サイバーセキュリティプログラムと連携する
3. ユーザーに対する透明性を
組み込んだ患者中心のアプ
ローチ
・AI／MLベースの機器に関する最近のFDA患者エン
ゲージメント諮問委員会会合に従って、次のステップは、
機器表示がユーザーに対する透明性を支援し、AI／ML
ベースの機器における信頼性を強化する方法に関する公
開ワークショップを開催することである

36. 36
AI／MLベースSaMD行動計画の領域(2)
行動領域 概要
4. アルゴリズムのバイアスと堅
牢性に関するレギュラトリーサイ
エンス手法
バイアスの特定と消去、アルゴリズムの堅牢性の評価と促
進など、機械学習の評価と改善のための手法を開発する
ためのレギュラトリーサイエンスへの取り組みを支援する
5. リアルワールドパフォーマンス
（RWP）
AI／MLベースのSaMD向けのRWPプロセスを検証して
いるステークホルダーとともに、取り組む
出典：FDA「Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device
(SaMD) Action Plan」（2021年1月）

37. 37
• 5. Q&A／ディスカッション