2018年10月、米国食品医薬品局(贵顿础)は、医疗机器製造业者向けのセキュリティ勧告の草案の更新版を発表しました。この勧告は、セーフティと并んで、セキュリティが开発プロセスにおけるデザインインプットとなるべきであると製造业者に助言しています。セキュリティとセーフティは似ているため、贵顿础のガイダンスでは、安全リスク管理と同様に、サイバーセキュリティのためのリスク管理アプローチを推奨しています。
本ガイダンスには、透明性と情报共有への动きを示す注目すべき追加事项が含まれています。医疗机器に関连するリスクは、製造者、医疗提供组织、患者の间で共有された责任から生じているため、製造业者が情报を共有し、すべての関係者がそれぞれの责任领域でリスクを軽减できるようにすることが重要です。例えば、製造业者が製品の部品表を伝え、セキュリティに特化したラベル付けをすることは、医疗提供组织のリスク管理を支援するための前向きな一歩です。
新しい区分
FDAのガイダンスで提示されている新しい概念の1つは、医疗机器に対し 2 層(ティア)のシステムを確立することです。ティア1 機器はリスクが高く、ティア2 機器は比較的リスクが低いことを表します。ティア1 と 2 の違いですが、ティア2 では、関連するセキュリティ管理策はリスク分析を通じて正当化できることを示し、ティア1 では、文書に記載されているすべての管理策を必要としていることを暗示しているように思われます。しかし、実際にはすべての管理策を識別してリスク評価すべきです。
安全かつ効果的な運用を確保するため、医疗机器のセキュリティ管理策には制限があります。ティア1 と ティア2 の正当性や根拠は等しく適用されるべきです。安全リスクと同様に、自動ロックアウトやパスワード認証などのセキュリティ 管理策がもたらすリスクを理解する必要があるからです。
しかし、リスクを適切に評価するための重要な概念がFDAのガイダンスには欠けています。その概念とは、医疗机器システムのリスクを評価する際に、適切な分野の専門知識を確実に活用するための経営阵の责任です。AAMI TIR 57では、ISO 14971から派生したこの概念について論じています。
ISO 14971規格は、医疗机器の安全リスク管理に焦点を当てています。この規格では、経営陣が安全リスク管理に適切な専門知識を確実に活用することを要求しています。この専門知識がなければ、安全リスクを正確に理解することはできません。セキュリティに関する専門知識と、それをサポートする経営阵の责任は、AAMI TIR 57に反映されています。この専門知識がなければ、組織はセキュリティリスクを適切に特定することができません。これは直感的なことのように思われますが、企業は、専門知識を構築、調達することの意味を理解する必要があります。
経営阵の责任
组织がしばしば苦労する一般的なシナリオとして、経営阵がセキュリティの専门知识のために必要な投资を认识していないことが挙げられます。セキュリティは他の领域と同様に、真の専门知识の构筑には时间がかかり、开発のすべての领域で异なるスキルセットを必要とします。多くの製造业者は、ソフトウェアアーキテクチャ / ソフトウェアエンジニアリング / テストエンジニアリング分野における複数の職種を有しています。セキュリティはこれらの分野に存在しなければならず、セキュリティテストやペネトレーションテストに熟練している人は、アーキテクチャやコーディングのスキルを持ち合わせていないかもしれません。
例えば、既存の外部装着机器ではなく埋め込み型机器という全く新しいドメインの机器を设计しているとしましょう。そのためには、开発プロセスに多くの新しいデザインインプットが必要となります。例えば、潜在的な安全性リスクを特定するためには、生体适合性の専门家が必要です。セキュリティも同様です。システム?セキュリティアーキテクチャ、セキュア?ソフトウェアエンジニアリング、セキュリティテストの専门家は、开発プロセス全体を通してインプットを提供する必要があります。
また、FDAは、医疗机器のセキュリティに関する申請の審査を容易にする手段として、UL 2900-1とUL 2900-2-1を認めています。UL 2900シリーズの文書、FDAの勧告、AAMI TIR 57これらすべてでリスクベースのアプローチを推奨しています。リスクベースのアプローチに違いはなく、UL 2900を遵守することで、製造業者はFDAが求めるリスクの特定と管理策の裏付けを提供できます。しかし、これらの規格のいずれかを採用するだけで十分なのでしょうか?
必要な复雑性
これらの規格が混乱を招くことを認めるのは私たちが初めてではありません – この記事のために、3つの規格の内容を勉強しなおさなければなりませんでした。では、製造業者はどのようにして矛盾に対処すればよいのでしょうか?また、これらの標準規格以外のセキュア开発の状况における新たな进歩を知るにはどうすればよいのでしょうか?
ひとつの解决策は、异なる规格や要求事项から共通の要求事项を导き出すことです。製造业者は、製品やプロセスを构筑しているチームに、开発プロセスや设计中の製品に対する共通の要件セットを提供することができます。
この活动では、様々な基準を见直し、コンプライアンスのニーズを満たすために组织が解釈した単一のアウトプットを生成します。これは、さまざまな业种のソフトウェアセキュリティの现状を调査しているBSIMM(Building Security In Maturity Model)のアクティビティ厂搁1.3「コンプライアンスの制约を要件に変换する」で証明されているように、多くの组织が実施している活动です。厂搁1.3は、组织がより安全なソフトウェアを构筑するための支援を目的とした叠厂滨惭惭で测定された116の活动のうちの1つに过ぎないことに注意してください。
BSIMMには、他にも必要な活動が含まれています。主題に関する専門知識と経営阵の责任を例に挙げてみましょう。これらの概念は、BSIMM 活動 T1.5「役割に固有の上級者向けカリキュラムを提供している」及び CP2.5「上級幹部がコンプライアンスやプライバシー義務を確実に認識している」で対処されています。
システムにセキュリティを组み込むための包括的で先を见越したアプローチを开発することは、製造业者にとって、より安全な製品を构筑するだけでなく、复数の机関が発行する医疗机器规格に準拠していることを証明するための最良の方法です。叠厂滨惭惭は、ノイズをかき分け、セキュリティと安全性のプロセスに焦点を当て、市场に送り出す製品が可能な限り安全で确実なものであることを保証するための素晴らしいリソースです。
BSIMM: アプリケーション?セキュリティの成功モデル
叠厂滨惭惭レポートは、础辫辫厂别肠の成熟度评価の基準を提供し、セキュリティ専门家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推进モデルです。
Continue Reading
シノプシス ソフトウェア?インテグリティ?グループの新しいアイデンティティ
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
