大研医器株式会社様

薬機法に即したSBOM対応を実現

大研医器様は、企画開発から製造・販売までを一貫して行う医療機器メーカーです。

医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、薬機法をはじめとする法要件に即したSBOMの生成、脆弱性管理に対応するため、yamoryを導入していただきました。そこで、製品開発課の木中氏に、今回の導入の背景についてお伺いしました。

大研医器株式会社様

掲載日　　2024年2月

木中氏：
当社は、医療機器の企画・製造・開発・営業を一気通貫で行っています。昨今、医療機関に対するサイバー攻撃が相次いで発生しており、特に医療機器を標的としたランサムウェア攻撃が目立っています。当社としても、お医者様・患者様に安心してご利用いただけるよう、品質保証やセキュリティ対策には力を入れてきました。

昨今のサイバー攻撃増加を受け、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました（※1）。1年間の経過措置がとられた後、2024年4月以降サイバーセキュリティ対応が必須となります。医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供などが求められていることから、SBOM対応が可能な脆弱性管理ツールを探していました。

※1：厚生労働省：医療機器の基本要件基準第12条第3項の適用について（2023年3月31日）

 

木中氏：
まず1つ目に、厚生労働省が求めるSBOM管理・脆弱性管理が可能であるという点です。基本要件基準への適合性確認においては、医療機器のセキュリティ規格であるJIS T 81001-5-1に基づいた対策の実施が必要とされ（※2）、ソフトウェア構成管理プロセスへの対応としてSBOMの作成が求められています。yamoryはSBOM最小要素の対応はもちろん、代表的なフォーマットでの作成・出力が可能であるという点が決め手でした。さらに、ソフトウェア問題解決プロセスへの対応としては、新たに脆弱性が見つかった場合の通知・対応が求められており、脆弱性が自動で検出・通知される点もポイントでした。

※2：厚生労働省：医療機器の基本要件基準第12条第3項の適合性の確認について（2023年5月23日）

2つ目に、オートトリアージ機能とわかりやすいUIです。yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、対応すべき脆弱性をすぐに確認することができます。外部のリソースに依存するのではなく、yamory独自のデータベースに脆弱性情報が集約されているため、迅速な脆弱性検知が可能な点にも魅力を感じています。

 

オートトリアージ機能（ダッシュボード）

 

脆弱性の対応方法に関するガイド

 

3つ目に、パッケージ管理ツールベースのスキャン方式であり、精度が高い点です。パッケージ管理システムの出力結果を解析する形でスキャンするため、ソースコード、バイナリスキャン方式と比較してノイズが少なく、精度が高いためスキャン後の精査が不要な点もポイントでした。当社では基本的にパッケージ管理を行っているため、機能面・費用面においても最適だと判断しました。