株式会社Vitaars様

薬機法に即したSBOM対応と脆弱性管理体制

Vitaars様は、集中治療科医・集中ケア認定看護師のチームを擁する遠隔ICUサポートサービスの提供では日本で唯一の事業会社です。遠隔から、ベッドサイドの医師・看護師を支援する遠隔ICUサービスを提供しています。「世界中の人々に、最高の医療を Anywhere, we care.」をミッションに、診療支援・医療情報提供サービス・医療安全に関するコンサルティング等、専門知識と経験で医療現場を支えています。

医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、薬機法をはじめとする法要件に即したSBOMの生成、脆弱性管理に対応するため、yamoryを導入していただきました。そこで、薬事・品質保証本部 盛山氏に、今回の導入の背景についてお伺いしました。

株式会社Vitaars様
集中治療科医・集中ケア認定看護師のチームを擁する遠隔ICUサポートサービスを提供

掲載日　　2024年3月

盛山氏：
当社は、ネットワークを介して遠隔から集中治療科医・認定看護師が、ベッドサイドの医師・看護師の支援を行う遠隔相談サービス「リリーヴ」や、遠隔モニタリングシステム「クロスバイ」など、遠隔ICUを中心とした遠隔医療サービスを提供しています。全国的な集中治療科医の不足、地域偏在からくる課題に対して取り組み、集中治療室で働く医師や看護師の働き方改革へ寄与し、日本全国での医療の質の均てん化を目指しています。

相談の際に必要とされる患者様の病状や生体データなど秘匿性の高い極めて重要な情報がやりとりされることから、標準化された国際規格に則った情報セキュリティマネジメントシステムの構築、およびISMS認証（※1）を取得するなど、情報セキュリティ対策には力を入れてきました。

昨今のサイバー攻撃増加を受け、2023年4月から薬機法に>おける医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました（※2）。1年間の経過措置がとられた後、2024年4月以降サイバーセキュリティ対応が必須となります。医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供、脆弱性対応などが求められていることから、SBOM対応が可能な脆弱性管理ツールを探していました。

※1：ISMS（Information Security Management System）認証：情報セキュリティ管理体制が国際規格である「ISO/IEC 27001」に適合していることを第三者認証機関が認証する制度
※2：厚生労働省：医療機器の基本要件基準第12条第3項の適用について（2023年3月31日）

 

盛山氏：
まず1つ目に、厚生労働省が求めるSBOM対応・脆弱性管理が可能であるという点です。基本要件基準への適合性確認においては、医療機器のセキュリティ規格であるJIS T 81001-5-1に基づいた対策の実施が必要とされ（※3）、ソフトウェア構成管理プロセスへの対応としてSBOMの作成が求められています。yamoryではSBOMの代表的なフォーマットである「SPDX」「CycloneDX」の作成・出力が可能であるという点が決め手でした。

さらに、新たに脆弱性が見つかった場合の通知・対応も求められており、yamoryでは単純にSBOMを作成するだけではなく、脆弱性が自動で検出・通知される点もポイントでした。

※3：厚生労働省：医療機器の基本要件基準第12条第3項の適合性の確認について（2023年5月23日）

2つ目に、シンプルでわかりやすいUIです。yamoryはダッシュボードが非常に分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、対応すべきものがすぐに確認できます。脆弱性の対応方法も、日本語で記載されているため助かっています。他社製品とも比較しましたが、必要な機能が備わっており、かつ費用面でもメリットがあると考え、導入を決めました。

 

ダッシュボードイメージ

 

脆弱性の対応方法に関するガイド

 

3つ目に、スピーディな導入が可能であった点です。2024年4月からのSBOM対応が必須となるため、期日が迫る中ツールを探していました。検証から導入まで1か月程度で進み、期日までにSBOM対応と脆弱性管理体制を構築することができました。

不明点についても質問するとすぐに対応してもらえますし、導入後は関係メンバー全員に対してオンボーディングを実施してもらえたため、チーム全体での運用フローをスムーズに構築することができました。丁寧なサポートがあり、安心して利用できる点も評価しています。