cybersecurity for medical devices & ivds

医療機器および体外診断用医療機器のセキュリティテスト

サイバーセキュリティの脆弱性を特定し、グローバルな規制の遵守を確保する

サイバーセキュリティの脆弱性を特定し、グローバルな規制の遵守を確保する

セキュリティテストの課題

米国、EU、中国、オーストラリア、英国などすべての主要地域の医療機器および体外診断用医療機器市場にアクセスするためには、医療機器および体外診断用医療機器のサイバーセキュリティ規制要件の遵守が前提条件となります。地域によらず、規制機関からの医療機器や体外診断用医療機器のサイバーセキュリティに対する認識が高まっています。その結果、サイバーセキュリティ規制への適合に関するガイドラインが発行されました。それには医療機器や体外診断用医療機器のライフサイクル全体における脆弱性スキャン、侵入テスト、その他のセキュリティテストの必要性も含まれています。

従って、医療機器および体外診断用医療機器のサイバーセキュリティの確保は、設計段階から考慮しなければならず、以下の取り組みが含まれています。

  • セキュアな開発ライフサイクルプロセスと多層防御の戦略
  • セキュリティリスクマネジメントプロセス
  • セキュリティ対策の検証とバリデーションのためのテスト
  • セキュリティの市販後プロセス

セキュリティテストは、これらの検証およびバリデーションを遂行するための主要な手段です。これには、脆弱性スキャン、ソースコードレビュー、ファズテスト、侵入テストが含まれます。既知の問題がある構成を特定するために、追加のテストを実施することも可能です。

セキュリティテストの際には、医療上の意図した用途を十分に理解し、考慮することが重要です。これは、セキュリティ要件が医療機器および体外診断用医療機器の臨床性能と矛盾することが多いため、特に重要です。例えば、ショックを与える前の2段階認証を備えた除細動器は、医療機器の臨床性能とユーザビリティを低下させます。
故に、医療機器と体外診断用医療機器のセキュリティテストを成功させるためには、サイバーセキュリティと医学的理解の両方が必要です。

  

なぜ医療機器および体外診断用医療機器のセキュリティテストが重要なのか?

デジタル・イノベーションの成長は、接続された医療機器と体外診断用医療機器のアタックサーフェス(攻撃経路)を増加させ、サイバーセキュリティの重要性を高めています。従って、製造業者は、IEC 81001-5-1およびIEC TR 60601-4-5のような関連規格および”state of the art”を考慮することが不可欠です。

また、セキュリティテストは、進化し続ける動的なプロセスであることを覚えておくことも重要です。機器は安全かもしれませんが、ある時点でセキュリティ試験の一部であった脆弱性に関しては、新たに発生するセキュリティ脆弱性や新たな攻撃ベクトルによって急速に変化する可能性があります。同様に、ソフトウェア更新後に、脆弱性スキャンまたは侵入テストを少なくとも部分的に繰り返す必要があります。変更に関するセキュリティ関連のテストや退行テストも、変更が機器のサイバーセキュリティにマイナスの影響を与えなかったことを示す上で重要です。

 

サービス詳細

テュフズードの医療機器および体外診断用医療機器のセキュリティテストサービスには、以下が含まれます。

  • 脆弱性スキャン:コンピュータ、ネットワーク、アプリケーションの既知の脆弱性を特定します。脆弱性が特定されると、修復活動を実施することができます。
  • 静的/動的コード解析:弱点と脆弱性を特定します。これらは相互に補完し合います。静的コード解析は、コード化ルールのガイドラインに照らしてソースコードを精査します。一方、動的コード解析は、既知および/または悪意のある入力の集合によって、潜在的に利用可能な脆弱性のための実行プログラムをテストします。
  • 医療機器の侵入テスト:医療機器に対するハッカー攻撃をシミュレートし、脆弱性を特定することで、製造業者が自社製品におけるサイバーアタックへの耐性を改善することができます。
  • ファジング:不正なデータインジェクションを使用して、ソフトウェアの実装バグと堅牢性を特定します。

 

お客様のメリット

脆弱性スキャンは、お客様の医療機器または体外診断用医療機器の既知の脆弱性を理解することを可能にし、お客様はそれらに対する対策を講じることができます。サイバーセキュリティ・ギャップを埋める予防的アプローチを実装することで、医療機器および体外診断用医療機器のセキュリティを維持することができます。これは、欧州医療機器規則 MDR欧州体外診断用医療機器規則IVDR、MDCG 2019-16、およびFDAのサイバーセキュリティガイダンス文書に規定されているとおりです。

静的/動的コード解析により、製造業者は、開発の初期段階で自動化されたフィードバックループを作成することにより、セキュアなコード化のためのサポートを実施することができます。欠陥の迅速な発見と修正は、後の製品開発段階で必要とされる変更の可能性を減らし、コストを最小限に抑えます。

ファジングは、ハッカーによって悪用される可能性のある多くの脆弱性をカバーし、医療機器や体外診断用医療機器がそのような予期せぬ入力を処理できるかどうかを判断し、人間の目で見逃される重大な欠陥や脆弱性を特定します。これにより、ハッカーがソフトウェアの脆弱性を特定するために使用する主要なテクニックを製造業者が考慮していることが保証されます。

医療機器の侵入テストでは、医療機器または体外診断用医療機器におけるこれまで知られていなかった脆弱性が特定されます。報告書は、サイバーセキュリティリスク軽減措置の有効性について、製造業者に独立した証拠を提供します。これらは、ノーティファイドボディや規制当局に提供される技術ファイルの一部となり得ます。

 

テュフズードを選ぶ理由

テュフズードは、医療機器および体外診断用医療機器のサイバーセキュリティについて20年以上の経験を有しています。テュフズードのテストラボは、750人を超える医療機器および医療機器のエキスパートテスターからなるグローバルチームの支援を受け、お客様の医療機器および体外診断用医療機器のサイバーセキュリティを試験および評価するための包括的なサービスを提供しています。電気安全試験、ソフトウェアアセスメント、生体適合性およびEMCサービスを含む医療機器および体外診断用医療機器の製造業者に向けてワンストップソリューションを提供します。

ITセキュリティおよびデータ保護の専門家として、ISO/IEC 17025およびIEC TR 60601-4-5の認定のもとでセキュリティテストを実施しています。また、サイバーセキュリティの専門家チームは、最新のサイバーセキュリティ侵害やハッキング技術を確実に最新の状態に保ち、お客様の機器を将来に備えてお手伝いします。

 

医療機器およびIVD機器のセキュリティテストのお申し込みはこちら

もっと知る

インフォグラフィック

医療機器向けサイバーセキュリティ試験

医療機器およびIVD機器のサイバーセキュリティを試験・評価するための包括的なサービスを提供しています

Learn More

MDR Cybersecurity from a notified bodies perspective
Webinar live

ノーティファイドボディから見たMDRサイバーセキュリティ(英語)

欧州医療機器規則(MDR)におけるサイバーセキュリティ要求事項をノーティファイドボディの立場から詳しく説明します。

詳細はこちら

AI in medical devices

Artificial Intelligence in Medical Devices

Verifying and validating AI-based medical devices

Learn More

Digital dialogues on-demand webinar
オンデマンドウェビナー

サイバーセキュリティにおけるIEC 81001-5-1役割(英語)

MDCG 2019-16 の重要な点を取り上げ IEC 81001-5-1の洞察を提供します。

詳細はこちら

Digital dialogues on-demand webinar
オンデマンドウェビナー

医療機器をサイバー脅威から守るためのガイド

サイバーセキュリティに関連するMDR技術文書の中で、陥りやすい間違いとは?MDCG 2019-16 や試験の重要ポイントを丁寧に解説。

詳細はこちら

リソースセンターへ

次のステップ

Site Selector