今や、病院をはじめとする医療の現場もサイバーセキュリティとは無縁ではない。複数の医療機関でランサムウェア感染被害が発生し、数週間から数カ月にわたって通常医療が継続できない事態に陥った件は記憶に新しいだろう。
こうした事態を受けて厚生労働省は、「医療情報システムの安全管理に関するガイドライン」を改め、適切なパスワード設定や二要素認証、バックアップといった対策の実施を求めている。さらに「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律等の一部を改正する法律」、通称「薬機法」を改正し、医療機関で利用される医療機器についてもソフトウェア部品表(SBOM)を整備し、セキュリティ要件を満たすよう求めることとなった。
積水化学グループのメディカル事業を担う企業として、検査事業において医療の現場で用いられる診断用医薬品や医療機器の製造・販売を担っている積水メディカル株式会社(以下、積水メディカル)では、こうした動きを背景に、自社で製造する医療機器のサイバーセキュリティを保つための全社的な手順や体制構築を、ベリサーブの支援を得ながら進めてきた。その経緯を、同社信頼性保証統括室 品質保証戦略室 品質保証基盤強化グループ長で国内品質業務運営責任者を務める新井敏史氏と、同グループ主任の八郷雅弘氏に伺った。
知識や経験の不足に抱いた不安をベリサーブの支援で解消
--どのような背景から、製品のサイバーセキュリティ品質保証体制の構築が求められたのでしょうか?
新井氏:積水メディカルが製造・販売する機器はインターネットにつながっていないものがほとんどですが、一部には接続機能を持ったり、USBポートを備えた管理用PCとセットになったりしているものもあります。もしこうした経路からウイルスが侵入し、院内に拡散すれば診療が立ちゆかなくなる恐れがあります。
そこで医療機関自体にサイバーセキュリティ対策が求められるとともに、機器メーカーに対する規制も強化されました。病院や施設から「この機器はどこまでサイバーセキュリティに対応しているか」を確認する質問状を寄せられることも増えています。
積水メディカル株式会社
信頼性保証統括室 品質保証戦略室 品質保証基盤強化グループ長 国内品質業務運営責任者
新井 敏史 氏
--品質保証体制を薬機法に対応させていくに当たって、どのような課題がありましたか?
八郷氏:関連情報の収集は行っていたものの、われわれにはサイバーセキュリティに関する知識や経験、人材が乏しく、本当に適切なプロセスが構築できるのか、SBOMを用いたソフトウェアの脆弱性管理が適切にできるのかという不安がありました。そこで、専門家のコンサルティングを受けながら進める方がベターだと判断しました。
積水メディカル株式会社
信頼性保証統括室 品質保証戦略室 品質保証基盤強化グループ 主任
八郷 雅弘 氏
--さまざまな企業の中から、ベリサーブの支援を受けることにした理由を教えてください。
新井氏:積水メディカルの研究所は以前からベリサーブと付き合いがあり、対応の良さに好印象を抱いていました。研究所の推薦もあってべリサーブから話を伺い、さまざまな相談に乗ってもらえそうだと判断し、コンサルティング的な部分も含め支援を受けることにしました。
--SBOMの管理にベリサーブの「SBOM.JP」を採用した理由は何でしょうか?
新井氏:手作業ではSBOMの作成・更新が難しいためツールの導入を検討していましたが、十分な知識がないため、うまくツールを使いこなせるかが課題でした。そんな折、ベリサーブがSBOM.JPの提供を開始することを知りました。当社にとってトータルでサイバーセキュリティの管理ができることは管理・運用面で優位性があると考え、採用することにしました。
八郷氏:他のツールはわれわれにとっては不要な機能が多過ぎて運用が難しく、コストもかかるのではと感じていました。また、何かあったときの支援面も心配でしたが、SBOM.JPならば、それまで受けてきたコンサルティングと同様にベリサーブの親身な支援が受けられると判断しました。
脆弱性管理を会社として一元化、自信を持って「大丈夫」と言える体制に
--ベリサーブのコンサルティングではどのような支援が得られましたか?
八郷氏:「CVEとは何か」という基本的な質問に始まり、複数存在する脆弱性の評価指標をどう活用すべきかといった実践的な悩みに至るまで、さまざまな相談に乗っていただきました。
--SBOM.JPを生かしてどのような脆弱性管理体制を運用していますか?
八郷氏:SBOM情報の登録や脆弱性情報の突合といった管理のためだけに人材を張り付けることは難しく、日々の運用工数が課題でした。そこで脆弱性管理にまつわる作業をベリサーブに委託することとし、仮運用を経て、2024年9月から本格的な運用を開始しました。
製造委託先から収集した医療機器のSBOMを、年に4回ベリサーブに連絡しています。そして登録した情報を基にSBOM.JPで脆弱性の有無を確認し、ベリサーブから弊社に報告していただいています。新たな脆弱性があれば、品質保証戦略室が製品への影響度合いを確認し、必要に応じて修正などの対応を行っています。
こうした定期的な確認以外に、日々のモニタリングを通して緊急性の高い脆弱性が報告された際は、その都度連絡を受けて対応しています。
--具体的にどのようなメリットを感じているのでしょうか?
新井氏:SBOM.JPの導入によって、以前は製品ごとにバラバラに行っていた脆弱性の管理と対応を一元管理できるようになりました。脆弱性が公表されたら開発に調査を依頼し、顧客からの問い合わせに回答するといった一連の流れに会社として対応できるような仕組みを整備できています。
八郷氏:品質マネジメントシステムの向上につながったことはもちろんですが、運用にベリサーブの力を借りることで自社での工数や費用の削減につながりました。
--セキュリティ面での効果はありますか?
新井氏:これまでのところ、システム改修が求められるような深刻な脆弱性は見つかっていません。また、もしこうした体制を整えていなければ、お客様に対して自信を持って「適切に脆弱性が管理できています」と断言できなかったでしょう。胸を張って「大丈夫です」と言える体制ができたのは、非常にいいことだと思っています。
一体となって対応を推進、これからも互いに「良きパートナー」に期待
--セキュリティ品質保証体制を整える上で、苦労したことはありましたか?
新井氏:最初は開発・製造の現場と品質保証部門の役割分担が曖昧なところがありましたが、ベリサーブと定期的に打ち合わせを重ね、理解を深めながら少しずつ自分事にしていきました。
八郷氏:社員の意識合わせにも苦労しました。ベリサーブの担当者も加わり、「なぜ脆弱性管理が必要か、SBOM.JPを導入するのか」と、その必要性を関係者に説明していったことで全体の認識が深まり、信頼関係を築きながら進めることができました。
--ベリサーブやSBOM.JPの良さはどんなところにあると思いますか?
八郷氏:親身にわれわれのことを考えてもらい、所属する企業は別でも一体感を持ちながらプロジェクトを進めることができました。ベリサーブでなければこのサイバーセキュリティ品質マネジメントシステムは構築できなかったのでないかと思います。サポートが非常に手厚く、SBOM.JP自体も信頼性の高いソリューションですから、同様の体制構築を検討されている他の企業にもお勧めできると思います。
--今後はどのように体制を拡張していく計画でしょうか?
新井氏:中国をはじめ、グローバル水準に合わせたセキュリティ品質管理体制の構築を見据え、必要に応じて手を打っていきたいと考えています。また、新たな医療機器分野に事業を拡大する際にも、サイバーセキュリティ面でどのような体制を構築すべきかといった相談に乗っていただけると期待しています。ベリサーブとはこれからも、互いに良きパートナーでありたいと思っています。
