アイリス株式会社様

薬機法に即したSBOM対応を実現

アイリス様は、「みんなで共創できる、ひらかれた医療をつくる。」をミッションとし、医師のもつ匠の技をデジタル化するAI医療機器を開発しています。

医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、自社製品のセキュリティ対策強化と、薬機法および「医療機器のサイバーセキュリティ導入に関する手引書」に即し、ソフトウェア構成管理プロセスにおいてSBOMを作成、脆弱性管理に対応するため、yamoryの導入を決定いただきました。
そこで、情報システム基盤 部門長 有川 晃貴氏に、今回のyamory導入の背景についてお伺いしました。

アイリス株式会社様
医師のもつ匠の技をデジタル化するAI医療機器を提供

掲載日　　2023年9月

有川氏：
昨今、医療機関に対してランサムウェアなどを用いたサイバー攻撃が相次いで発生しています。特に、医療機器を標的としたランサムウェア攻撃が目立っており、医療機器メーカーである私たちとしても、3省2ガイドライン（※1）への取り組みや技術的な安全対策措置の整備に加え、外部機関による脆弱性診断などのセキュリティ対策の強化に取り組んできました。

また、IMDRFガイダンス（国際医療機器規制当局フォーラムが発行した「医療機器サイバーセキュリティの原則及び実践」）（※2）を踏まえ、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました（※3）。

さらに、「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」（※4）では、SBOMの要素と推奨フォーマットが示されており、また、医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供などを求めています。経過措置期間は1年とされているため、2024年3月末までの対応に向けて急いで検討を進めており、SBOM対応が可能な脆弱性管理ツールを探していました。

※1：医療に関する情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドライン。厚生労働省によるものと、経済産業省・総務省によるものの2つで構成。
※2：Principles and Practices for Medical Device Cybersecurity
※3：厚生労働省：医療機器基本要件基準告示改正の施行通達（2023年3月31日）
※4：厚生労働省：医療機器のサイバーセキュリティ導入に関する手引書の改訂について（2023年3月31日）

 

有川氏：
まず1つ目に、厚生労働省が求める基準に即したSBOM対応が可能であるという点です。

今後医療機関へのSBOM提出が求められることから、yamoryではSBOM最小要素の対応はもちろん、標準フォーマットでの作成・出力が可能であるという点が決め手でした。SBOM標準フォーマットだけでなく、CSV形式での出力も可能なため、まだSBOM対応が進んでおらず標準フォーマットのSBOMファイルを受け取っても中身を見られないという医療機関も多くあります。そういった医療機関に対しても、CSVでSBOMを提出することで、内容の確認が可能です。

2つ目に、UIがシンプルで使いやすく、国産ツールであるという点です。

yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、現状の確認と対応の効率が高まります。
また、脆弱性管理の領域、特にSBOＭツールは海外製品が多いなかで、国産サービスであることが大きなポイントでした。yamoryは日本語対応のUIやドキュメントが豊富なこと、クラウドデータが国内のサーバーに保管されることも、安心して利用することができる点と感じています。

3つ目に、ITシステムの脆弱性対策とSBOM対応をyamory1つで完結できる点です。

yamoryを導入することで、OS・ミドルウェア、クラウドなど複数のレイヤーの脆弱性を一元管理でき、さらに医療機関へのSBOM提出にも対応することができます。それぞれ異なったツールや海外製品を導入するよりも、効率的で網羅的な脆弱性対策が可能となり、コスト面・工数面でも大きなメリットであると感じています。