医療機器のサイバーセキュリティリスクを“診断”、テストサービス提供開始：製造ITニュース（1/2 ページ）

　テュフ ラインランド ジャパンは2021年4月15日、サイバー脅威に対する医療機器のリスクを評価する「医療機器のサイバーセキュリティ テストサービス」（以下、テストサービス）を機器メーカー向けに提供開始すると発表した。国内外で強まる医療機器のサイバーセキュリティリスクに対する法規制を念頭に、機器のリスクを洗い出す検証サービスを提供する。

セキュリティリスクを洗い出すテスト

　テストサービスの中でも中心となるのは「ペンテスト」「ファジング」「脆弱（ぜいじゃく）性スキャン」「ソースコードレビュー」の4つのサービスである。

　ペンテストはいわゆるペネトレーションテストのことで、ハッカー（攻撃者）による既知の攻撃手法を用いてシステム侵入を試み、内部ソフトウェアの不具合や脆弱性を検証する。ファジングは本来想定されていないデータをネットワークトラフィックにわざと流すことで生じる、機器やソフトウェアのセキュリティリスクを洗い出す。

　脆弱性のスキャンは、システム構築に用いられているソフトウェアやハードウェアに既知の脆弱性が残されていないかを確認する。医療機器のOSにはWindowsやLinuxが多く採用されており、これらのOSは頻繁にアップデートを繰り返すことでセキュリティリスクを最小限に抑えようとしている。ただ、更新されずに問題点がそのまま放置されていれば大きな問題となりかねない。また、ソースコードレビューでは機器に導入されているアプリケーションのソースコードを査読して、セキュリティ上危険なプログラミング手法が放置されていないかを確認する。

テストサービスを構成する4つのサービス＊出典：テュフ ラインライド ジャパン［クリックして拡大］

テュフ ラインランド ジャパンの貝田章太郎氏＊出典：テュフ ラインライド ジャパン［クリックして拡大］

　テスト期間は約3〜4カ月を想定する。ただ、テスト終了後には、医療機関などの実際の導入環境で本当に問題が生じないかを評価するリスクアセスメントと、その結果に応じた修正作業を行うことになる。このプロセスは約12〜18カ月を要する上、その後、さらに認証審査を受ける必要もある。

　このため、テュフ ラインランド ジャパン インダストリー＆サイバーセキュリティ事業部 サイバーセキュリティサービス 室長の貝田章太郎氏は「医療機器の販売開始予定の2年ほど前にテストを開始している状態が望ましい」と説明した。費用は案件によって異なるため、個別見積もりとなる。

機器販売開始の2年前にテストサービス開始を推奨＊出典：テュフ ラインライド ジャパン［クリックして拡大］

　テストサービスの独自の強みについて、貝田氏は「効果的なテストを実施する上では、テスト提供者が医療現場とサイバーセキュリティの現状を熟知している必要がある。この両方を知り尽くしている企業というのは、当社以外にはあまりいないだろう」と説明した。