特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
連載
» 2020年06月12日 10時00分 公開

海外医療技術トレンド(60):米国NISTが定めるIoT機器製造者向けセキュリティ指針と医療機器の関係性 (3/3)

[笹原英司,MONOist]
前のページへ 1|2|3       

コミュニケーションを重視するIoT機器の市販後サイバーセキュリティ

 IoT機器の市販後フェーズにおける活動項目をみると、コミュニケーションを重視している点が注目される。このうち「活動5:顧客とコミュニケーションするアプローチを定義する」では、市販後コミュニケーションの対象顧客に応じて、IoT機器製造業者は、以下のような質問への回答を想定すべきであるとしている。

  1. 顧客はどんな用語を理解するか?
  2. 顧客はどの程度の情報を必要とするか?
  3. どんな方法で/どこで、情報を提供するか?
  4. どのような方法で、情報の完全性を検証できるか?
  5. 顧客は、製造業者としての自分とコミュニケーションする必要があるか?

 さらに、「活動6:顧客とコミュニケーションする内容とそれをコミュニケーションする方法を決定する」では、IoT機器製造者が顧客とのコミュニケーションに含めたいと考える以下の6項目について、想定すべき検討事項を挙げている。

  1. サイバーセキュリティリスクに関連する仮定
  2. サポートとライフスパンに対する期待
  3. 機器の構成と機能
  4. ソフトウェアのアップデート
  5. 機器の寿命の選択肢
  6. 技術的および非技術的手段

 折しも2020年3月18日、本連載第53回で取り上げた国際医療機器規制当局フォーラム(IMDRF)の「医療機器サイバーセキュリティの原則とプラクティス」最終版が公開されている(関連情報、PDF)。NISTのIoT機器製造業者サイバーセキュリティ指針と同様に、IMDRFの医療機器サイバーセキュリティ指針も、市販前および市販後の各フェーズから構成されているが、市販後管理戦略では以下の5項目を考慮事項として掲げている。

  • 市販後監視
  • 脆弱性の開示
  • パッチ当てとアップデート
  • 復旧
  • 情報共有(例:ISAOs)

 医療機器の場合、市販後フェーズの対顧客コミュニケーションでは、メディカルアフェアーズ部門や医療機器情報担当者が重要な役割を果たしている。同じような仕組みがIoT機器製造者全体に広がるのか、それとも従来にない新たな仕組みや技術が導入されるのか、今後が注目される。

具体的なIoT機器サイバーセキュリティ機能を定義したNISTIR 8259A

 一方、「NISTIR 8259A:IoT機器サイバーセキュリティ機能コア・ベースライン」では、「NISTIR 8259:IoT機器製造業者向けの基礎的サイバーセキュリティ活動」をベースとしながら、組織の機器だけでなく機器データやシステムおよびエコシステムを保護する、共通のサイバーセキュリティコントロールをサポートするために必要なデバイス機能(IoT機器サイバーセキュリティ機能)を定義している。具体的な機能項目は以下の通りである。

  • デバイスの識別子
  • デバイスの構成
  • データ保護
  • インタフェースへの論理的アクセス
  • ソフトウェアのアップデート
  • サイバーセキュリティ状態への認識

 表1は、IoT機器サイバーセキュリティ機能のうち、デバイスの識別子に関する定義を示したものであり、機能の定義に続いて、共通要素、理論的根拠、IoTレファレンス例を整理している。

表1 表1 IoT機器サイバーセキュリティ機能:デバイスの識別子(クリックで拡大) 出典:NIST「IoT Device Cybersecurity Capability Core Baseline」(2020年5月29日)

 具体的な技術的サイバーセキュリティ対策の観点から入るのであれば、NISTIR 8259Aを参照した上で、組織的な仕組みや対策をまとめたNISTIR 8259を読んだ方が理解しやすい。

 米国のIoT製造サイバーセキュリティ動向をみると、医療機器や自動車など、セーフティに厳格な業種・業界における取り組みが先導役となり、消費者向けIoT機器へと広がっていったケースが多々見受けられる。

 加えて、IoTだけでなく、クラウドコンピューティング、ビッグデータ、フォグ/エッジコンピューティング、AI(人工知能)など、NISTが関わる新技術の標準化/共通化関連ドキュメントでは、健康医療やライフサイエンスに関わるユースケースが幅広く利用されている。その背景には、単一の企業や業種にとどまらない情報開示・共有、コミュニケーションに関わる制度的・技術的仕組みづくりの動きがある。

筆者プロフィール

笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook:https://www.facebook.com/esasahara


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.