解説：最高情報セキュリティ責任者(CISO)は、医療機器製造現場で起こっている根本的な変化に対応する準備ができていますか

サイバー脅威の増加 

「この業界では、誰もが『命を救う』という同じ目標を持っています」というのは、私たちが何度も耳にする信念です。市場に導入されている医療機器は、他の注目すべき目標の中でも、癌と闘い、糖尿病を管理し、全体的に健康を改善するために開発されています。これらの医療機器はすべて、患者の機密情報を収集して保存するため、医療機器のデータ保護がこれまで以上に重要になっています。
さまざまなセキュリティ上の問題が見つかり、各企業がそれらの問題に対処するために実務を調整する中、データ保護を取り巻く状況には、非常に急速な進展が見られます。ラウンドテーブルの参加者の1人は、「歴史的に見て、私たちは医療機器の故障の予測に長けていましたが、サイバーは予測が難しい」と付け加え、「潜在的な脅威やリスクを常に認識できるようにトレーニングする必要があり、問題が発生したときに迅速に対応できることが重要」と述べています。 
サイバーセキュリティ業界では、医療機器に存在する可能性のある問題が継続的に増加していることを認識しています。しかし、歴史的に、規制の焦点の多くは、承認時に製品が安全であることを保証することにあり、現場ですでに承認されている医療機器に対する新しいセキュリティの脅威を監視して対処することではありません。現在では、米国食品医薬品局（FDA）または欧州連合医療機器規制（EUMDR）のような組織が、医療機器が製品の寿命まで安全であり続けることを保証するために、より具体的なガイドラインを確立しようとしています。それでも、「悪者が侵入できないように、これが安全であることを確認する」という漠然とした要求は、まだ残っています。 

文化的進化 

医療機器のエコシステムは急速に変化しています。今日では、技術者はBluetoothなどの広範な通信チャネルを介して医療機器と対話でき、消費者はアプリを介して医療機器のファームウェアを更新でき、医師は患者を遠隔地で監視することができます。このような状況に対応するためには、企業は製品を中心としたサイバーセキュリティへのアプローチを変える必要があります。医療機器や患者のセキュリティを維持するには、組織と業界内で文化的な変化を起こす必要があります。サイバーセキュリティは、医療機器のライフサイクルの初期段階から不可欠な要素となります。開発終了時または製造後にセキュリティに対処していたのでは、医療機器メーカーや規制当局、そして場合によっては患者にとって、頭痛の種になることは避けられません。従来、医療機器メーカーは、製品のリリース時に製品の安全性を確保することに重点を置いていました。有限のテストはこの業界にとって常に重要な強みでしたが、今日では、脅威の状況が変化しているため、医療機器の管理と更新にはより多くの人手が必要となっています。つまり、半年後にリリースするこの製品のセキュリティを確保する必要があり、3年前にリリースした製品もメンテナンスしセキュリティを確保しなければならない、というプロセスになります。  
組織にとっての問題は、「これらの新しいサイバーセキュリティの課題から医療機器と顧客を保護するために、どのようにプロセスを適応させるか」ということです。2017年、少なくとも米国の45の病院の医療機器がランサムウェアである“WannaCry”に感染しました。医療機器は、カスタムのリアルタイムオペレーティングシステムからMicrosoftのWindowsまで、あらゆる環境で動作します。WannaCryの例では、パソコンを狙ったサイバー攻撃により、病院のネットワークを介して放射線機器が感染し、操作が回復するまでMRI装置をシャットダウンするというものでした。それ以降も医療機器はさまざまなオペレーティングシステムや、新しい接続方法が取り入れられており、医療機器の危険性は増加の一途をたどっています。このような状況下では、これまでとは異なるリスクの捉え方が必要になります。ラウンドテーブルの参加者の1人は、「製品のパッチ適用と更新は、まったく新しい概念。製品のライフサイクルを通して、パッチを適用し、更新、管理する必要がある」と述べています。 注意しなければならないのは、これらのパッチ適用および継続的なメンテナンスのプロセスは、多くの組織ですでに実施されている標準的な品質保証（QA）プロセスに組み込む必要があるということです。
セキュリティのベストプラクティスを最大限に活用するためには、組織内外のリソースが互いに協力することが重要であると考えられます。しかし、これは多くの企業、特に研究開発環境において、重要な文化的変化を意味しています。医療機器業界に当てはめた場合、サイバーセキュリティの変化は、製品ごとに1つのポリシーを一度だけ作成する時代が終わったことを意味します。現在、セキュリティは生産プロセスのすべてのステップに統合する必要があり、セキュリティ手順を定期的に確認することがビジネスを行うための標準的な方法になります。対外的には、競争を避けることが重要であるという点でラウンドテーブルの参加者は同意しました。「業界は非常に競争が激しいですが、セキュリティに関しては、私たちは非常に協力的です」という意見がありました。規制当局との強力な関係を築くことはその一歩であり、業界のタスクフォースやフォーラムに積極的に参加することもその一歩です。「規制当局は、タスクフォースが業界全体の基準と一貫性を推進するための鍵であると認識しています。」
私たちのクライアントの1つは、毎年恒例のクライアントシンポジウムに意図的に規制当局を含めています。そのイベントでは、今後の規制の変更が見直され、メーカーは「新しい規制の背後にある理由をよりよく理解できるようになる」とクライアントは述べています。「すべての医療機器会社は、本質的に同じ使命を持っています。すべては患者さんの安全のためであり、この理解が規制要件をより効果的に満たすことに役立ちます。」さらに、サイバーセキュリティの脅威と戦うための最善の方法について他の業界の人々と学び、協力するために、業界フォーラムに参加することの重要性を強調しています。

主要なプラクティス：セキュリティ機能の最新化 

多くの組織が直面するコラボレーションに対する内部の課題は、企業が伝統的に買収を通じて拡大するこの業界にとって、典型的な成長の自然な結果です。新しい企業がグループに加わると、内部にサイロが発展する傾向があり、特に医療機器のセキュリティのように物議を醸すものでは、各サイロのエンジニアリンググループが単一のセキュリティマインドセットに同意することが非常に困難なものになります。 
これらのサイロを解消するには、集中管理された製品のサイバーセキュリティモデルをお勧めします。このモデルでは、1つの中央管理部門が基本的なセキュリティガバナンスのベースラインとドキュメント要件を作成します。各製品部門には独自の製品セキュリティ担当者がおり、中央管理部門と連携し、セキュリティ要件を各製品に”翻訳”するのを容易にします。このアプローチには、組織全体での強力なコミュニケーション、協力、調整が必要ですが、一度実施すると大きな利益が得られます。  
私たちのラウンドテーブルの参加者は、この集中管理された方法を採用し、その概念を独自の文化的ニーズに適合するように最適化させました。比較的小規模なチームですが、製品に関する深い知識を持つ従業員を巻き込み、会社全体のセキュリティと規制の推進を一貫して尊重することで、チームの効果を最大限に高めています。ここで最も重要な要素は、企業のリーダーシップからのサポートを確保し、強力なセキュリティプロセスへのトップの取り組みを組織全体に浸透させることです。 
ラウンドテーブルの参加者は、CISOに向けて、以下を推奨しています。 

• チームがセキュリティに関する会社の最終的なビジョンを理解していることを確認する
• チームがそのビジョンに向けて独自の道筋を描くことができるようにする
• 成功がどのように見えるかを定義する
• その成功を達成するための障壁を取り除く
• セキュリティチームがやりがいを感じられるだけでなく、チームが課題に直面したときに助けになれるようにする
• 仕事を成し遂げるために必要なツールを提供する
• 顧客/患者の話をチームと共有し、チームの仕事を身近なものと捉え、患者の生活に変化をもたらす能力をサポートする

医療機器製造会社におけるCISOの役割は、絶えず変化する脅威の状況とともに進化し続けます。コラボレーションとコミュニケーションの考え方を身に付けることは、この激しい変化の波の海を渡っていくために確実に役立つでしょう。

（2021年3月11日）

英語版ブログ「There’s a Culture Shift Happening in Medical Device Manufacturing. Are CISOs Ready?」へのリンクはこちら