3. AGENDA
1. OWASP/Cloud Security Alliance
「OWASP セキュアな医療機器導入基準Version 2.0」
(2018年8月発行)
2. CSA Health Information Management WG
「クラウドに接続された医療機器の管理」
(2020年3月発行)
3. CSA Health Information Management WG
「医療サイバーセキュリティ・プレイブック」
(2021年7月発行)
4. CSA Health Information Management WG
「医療システムにおけるAI」(2021年中発行予定)
~SaMD(Software as a Medical Device)の視点~
5. Q&A/ディスカッション
4. 4
1. OWASP/Cloud Security Alliance
「OWASP セキュアな医療機器導入基準Version 2.0」
(2018年8月発行)
• 対象=医療機器を導入する医療機関
• 目的:医療施設内における医療機器の
セキュアな導入のための包括的な指針を
提供する
出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月)
5. 5
概要(1)
項目 内容
調達時のコントロール ・セキュリティ監査/評価
・プライバシー・インパクト評価
・サポート評価(例.セキュリティパッチ当て)
境界の防御 ・ファイアウォール
・ネットワーク侵入検知/予防システム(NIDS/NIPS)
・プロキシサーバー/Webフィルター
ネットワークセキュリティの
コントロール
・ネットワークのセグメント化
・内部ファイアウォール
・内部ネットワークのNIDS/NIPS
・Syslogサーバー
・ログのモニタリング
・脆弱性のスキャニング
・DNSシンクホール
出典:「OWASP Secure Medical Device Deployment Standard Version 2.0」(2018年8月)
8. 8
2.CSA Health Information Management WG
「クラウドに接続された医療機器の管理」(2020年3月発行)
• 対象=医療機器を導入する医療機関
イントロダクション
医療機器のセキュリティライフサイクル
調達前
調達後/展開前
展開/運用管理
廃棄
提言と結論
参考文献
出典:CSA Health Information Management WG「Managing the Risk for Medical Devices
Connected to the Cloud」(2020年3月)
9. 9
イントロダクション
• 医療機器と患者の近接性を表す隔たりの程度
分離の程度 定義 機器サポート責任
段階0 機器が患者に埋め込まれている ベンダーおよび/または医師・医療スタッフ
段階1 機器が患者に接触する ベンダーまたは臨床工学
段階2 機器は患者に接触しないが、患者
の生命兆候または体液、データを
測定する
ベンダーまたは臨床工学
段階3 機器は患者に接触しないが、適切
な患者診断に重要なことを行う可
能性がある
ベンダーまたは臨床工学
段階4 機器は患者から離され、診断/臨
床機器よりも運用ツールである
ベンダーまたはIT
出典:CSA Health Information Management WG「Managing the Risk for Medical Devices
Connected to the Cloud」(2020年3月)