米国では、医療製品におけるサイバーセキュリティがもはや後回しにはされなくなる。
2023年10月1日以降、既知の脆弱性がある、または安全な設計を欠くすべての新しい医療機器は、米国食品医薬品局(FDA)により却下され、米国市場で販売できなくなる。
新しい医療機器の承認を求める医療機器メーカーは、新たに定められた要件の一覧に従わなければならない。
世界初の消費者向けSBOM義務化
まず申請者は、当該機器が定期的なセキュリティ更新とパッチ(重大な状況を含む)によって保護されていることについて「合理的な保証」を提供するためのプロセスを示す必要がある。
次に、商用、オープンソース、既製(オフ・ザ・シェルフ)のソフトウェアコンポーネントを含むソフトウェア部品表(SBOM)をFDAに提出することが求められる。
ワシントンD.C.で開催されたMandiant mWISEカンファレンスの場でInfosecurityの取材に応じたGoogle CloudのOffice of the CISOディレクター、テイラー・レーマン氏は、これは「政府機関の義務化を除けば、法律によりSBOMが求められたのは初めて」だと述べた。
最後に、医療提供者は、FDAによる承認後であっても、機器に関連する可能性のあるサイバーセキュリティ上の問題を「監視し、特定し、対処する」ために設計された計画を提出しなければならない。
「この最後の要件は、医療におけるサイバーセキュリティの扱い方にも変化をもたらします。これまでは、機器が承認されると、後に脆弱であることが判明しても市場から撤去されませんでした。今回は、撤去され得ます」と、Google入社前にTufts MedicineおよびAthenahealthで最高セキュリティ責任者を務めていたレーマン氏は語った。
すべての医療機器がこれらの新ルールの対象になるわけではない。新たなサイバーセキュリティ規則の対象となる「サイバー機器」と見なされるには、医療機器がインターネットに接続可能で、何らかのソフトウェアを含み、サイバーセキュリティ上の脅威に対して脆弱となり得る技術を備えている必要がある。
つまり、病院で使用されるエアギャップ機器は新法の対象外となるが、スマートウォッチのような消費者向けヘルス機器は対象となる。
猶予期間の終了
この前例のない連邦レベルの義務化は、「サイバー機器および関連システムに関する受理拒否(Refuse to Accept)方針」と呼ばれるガイダンス文書に由来する。これは、ジョー・バイデン大統領が署名した1.7兆ドル規模の2023年統合歳出法(Consolidated Appropriations Act, 2023)(通称オムニバス)の一部として、2022年12月に導入された。
オムニバス法案は、連邦食品・医薬品・化粧品法(FD&C法)を改正し、第524B条「機器のサイバーセキュリティ確保(Ensuring Cybersecurity of Devices)」を追加した。これによりFDAは受理拒否方針を実施することが求められる。
改正後のFD&C法は2023年3月29日に施行されたが、医療機器メーカーには6か月の猶予期間が与えられ、その間FDAは受理拒否方針を執行しなかった。
これは10月1日に終了する。
病院CISOにとってのゲームチェンジャー
レーマン氏は、これらの新要件は医療業界、特に病院のCISOにとってゲームチェンジャーだと述べた。
「現在、多くの医療システムのネットワークでは、セキュリティの観点で規制されていない機器が動いています」と同氏は語った。
2022年、FBIは、病院内のインターネット接続医療機器の50%以上にサイバーセキュリティ上の脆弱性があり、また耐用年数末期(EOL)段階の機器の約40%ではセキュリティパッチがほとんど、あるいはまったく適用されていないことを明らかにした。
さらに、過去数年にわたり病院を標的としたサイバー攻撃が多発しており、ポネモン研究所が主導した調査によれば、2021年から2022年の間にこれらの機関のほぼ89%が少なくとも1回のサイバー攻撃の被害に遭っている。
「他国も追随し、医療システムのサイバーセキュリティ態勢を強化する同様の法的要件を導入していくと考え、そうなることを願っています。ありがたいことに医療分野では、世界の多くの国が大きな議論をすることなく同じ基準に合意する傾向があります」とレーマン氏は結論づけた。
翻訳元: https://www.infosecurity-magazine.com/news/us-implement-cyber-mandates/
