サイバーセキュリティの脆弱性を特定し、グローバルな規制の遵守を確保する
サイバーセキュリティの脆弱性を特定し、グローバルな規制の遵守を確保する
米国、EU、中国、オーストラリア、英国などすべての主要地域の医療機器および体外診断用医療機器市場にアクセスするためには、医療機器および体外診断用医療機器のサイバーセキュリティ規制要件の遵守が前提条件となります。地域によらず、規制機関からの医療機器や体外診断用医療機器のサイバーセキュリティに対する認識が高まっています。その結果、サイバーセキュリティ規制への適合に関するガイドラインが発行されました。それには医療機器や体外診断用医療機器のライフサイクル全体における脆弱性スキャン、侵入テスト、その他のセキュリティテストの必要性も含まれています。
従って、医療機器および体外診断用医療機器のサイバーセキュリティの確保は、設計段階から考慮しなければならず、以下の取り組みが含まれています。
セキュリティテストは、これらの検証およびバリデーションを遂行するための主要な手段です。これには、脆弱性スキャン、ソースコードレビュー、ファズテスト、侵入テストが含まれます。既知の問題がある構成を特定するために、追加のテストを実施することも可能です。
セキュリティテストの際には、医療上の意図した用途を十分に理解し、考慮することが重要です。これは、セキュリティ要件が医療機器および体外診断用医療機器の臨床性能と矛盾することが多いため、特に重要です。例えば、ショックを与える前の2段階認証を備えた除細動器は、医療機器の臨床性能とユーザビリティを低下させます。
故に、医療機器と体外診断用医療機器のセキュリティテストを成功させるためには、サイバーセキュリティと医学的理解の両方が必要です。
デジタル・イノベーションの成長は、接続された医療機器と体外診断用医療機器のアタックサーフェス(攻撃経路)を増加させ、サイバーセキュリティの重要性を高めています。従って、製造業者は、IEC 81001-5-1およびIEC TR 60601-4-5のような関連規格および”state of the art”を考慮することが不可欠です。
また、セキュリティテストは、進化し続ける動的なプロセスであることを覚えておくことも重要です。機器は安全かもしれませんが、ある時点でセキュリティ試験の一部であった脆弱性に関しては、新たに発生するセキュリティ脆弱性や新たな攻撃ベクトルによって急速に変化する可能性があります。同様に、ソフトウェア更新後に、脆弱性スキャンまたは侵入テストを少なくとも部分的に繰り返す必要があります。変更に関するセキュリティ関連のテストや退行テストも、変更が機器のサイバーセキュリティにマイナスの影響を与えなかったことを示す上で重要です。
テュフズードの医療機器および体外診断用医療機器のセキュリティテストサービスには、以下が含まれます。
脆弱性スキャンは、お客様の医療機器または体外診断用医療機器の既知の脆弱性を理解することを可能にし、お客様はそれらに対する対策を講じることができます。サイバーセキュリティ・ギャップを埋める予防的アプローチを実装することで、医療機器および体外診断用医療機器のセキュリティを維持することができます。これは、欧州医療機器規則 MDR、欧州体外診断用医療機器規則IVDR、MDCG 2019-16、およびFDAのサイバーセキュリティガイダンス文書に規定されているとおりです。
静的/動的コード解析により、製造業者は、開発の初期段階で自動化されたフィードバックループを作成することにより、セキュアなコード化のためのサポートを実施することができます。欠陥の迅速な発見と修正は、後の製品開発段階で必要とされる変更の可能性を減らし、コストを最小限に抑えます。
ファジングは、ハッカーによって悪用される可能性のある多くの脆弱性をカバーし、医療機器や体外診断用医療機器がそのような予期せぬ入力を処理できるかどうかを判断し、人間の目で見逃される重大な欠陥や脆弱性を特定します。これにより、ハッカーがソフトウェアの脆弱性を特定するために使用する主要なテクニックを製造業者が考慮していることが保証されます。
医療機器の侵入テストでは、医療機器または体外診断用医療機器におけるこれまで知られていなかった脆弱性が特定されます。報告書は、サイバーセキュリティリスク軽減措置の有効性について、製造業者に独立した証拠を提供します。これらは、ノーティファイドボディや規制当局に提供される技術ファイルの一部となり得ます。
テュフズードでは、医療機器の専門家が企業のお悩みに応える無料相談サービスを提供しています。
「情報収集をしてみたところ認証取得が必要そうだが、実際のところどうだかわからない」
「取引先から取得を求められた認証がどういうものか、何を準備すればいいのかを知りたい」
「必要な試験・評価の手順や所要期間、概算費用を知りたい」
といった規制・試験・認証に関わる疑問やご相談に、専門家がオンラインで直接で回答します。規制・試験・認証に関連する様々な疑問の解消に是非お役立てください。
テュフズードは、医療機器および体外診断用医療機器のサイバーセキュリティについて20年以上の経験を有しています。テュフズードのテストラボは、750人を超える医療機器および医療機器のエキスパートテスターからなるグローバルチームの支援を受け、お客様の医療機器および体外診断用医療機器のサイバーセキュリティを試験および評価するための包括的なサービスを提供しています。電気安全試験、ソフトウェアアセスメント、生体適合性およびEMCサービスを含む医療機器および体外診断用医療機器の製造業者に向けてワンストップソリューションを提供します。
ITセキュリティおよびデータ保護の専門家として、ISO/IEC 17025およびIEC TR 60601-4-5の認定のもとでセキュリティテストを実施しています。また、サイバーセキュリティの専門家チームは、最新のサイバーセキュリティ侵害やハッキング技術を確実に最新の状態に保ち、お客様の機器を将来に備えてお手伝いします。
Verifying and validating AI-based medical devices
Learn More
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa