医療機器のセキュリティ動向とファジング

近年、あらゆるものがインターネットにつながるIoT化により、病院や医療機器（薬事法の対象である医療機器、ヘルスケア機器および医療情報システムなど）に対してもサイバーセキュリティ対策が求められてきています。

2020年４月に、医療機器規制の国際協調を目指すIMDRF（国際医療機器規制当局フォーラム）から医療機器に関するサイバーセキュリティ対策の一般原則とベストプラクティスを整理した国際的なガイダンスとして IMDRFガイダンスが公表され、2021年にはEUでMDRの適用を、翌年2022年にはIVDRの適用を開始しました。

国内でも2023年にJIS T 81001-501が発行され、薬機法による医療機器に関する規制にIMDRFガイダンスを取り入れて、改訂した薬機法が適用となりました。新規制は2023年4月1日に施行され、2024年3月31日までの1年間移行期間を設けています。移行期間終了後に機器の承認を申請する場合、機器メーカーは新規制への適合性を証明する必要があります。

サイバーセキュリティ対策において先行している米国では、米食品医薬品局（FDA）が医療機器のセキュリティ向上に関する推奨事項をまとめた文書を公開し、米国立研究所（NIST）が定めたサイバーセキュリティフレームワークを、メーカー各社が適用することを推奨しています。

NIST SP800-53/SA-11、SA-12の項目内では、ファズテストや侵入テストの使用についても具体的にアナウンスされており、これら手法を用いた機器の検証を求められてきています。この SP800-53の内容は、NISTのCybersecurity Frameworkおよび同SP800-171の規格などでも適合すべき施策として指定されているので、セキュリティ対策に必要な事柄を把握するのに役立ちます。

国内外における近年のセキュリティ動向（クリックして拡大）

ユビキタスAIは、ファジングツール「beSTORM」などを使用して、ファジングを中心とした脆弱性・セキュリティ検証サービスを提供しています。ファジングは、未知の脆弱性に対する動的検証として、IPA（独立行政法人情報処理推進機構）や、CCDS（Connected Consumer Device Security Council） 、NISTなどでも有用性が認められている手法です。

「beSTORM」によるサイバー攻撃を疑似的に再現した試験を事前に実施することにより、セキュリティホールとなり得る脆弱性を未然に検出することができます。

IoT機器セキュリティ検証サービス 詳細ページ