ロボット支援手術システムにおける脅威モデリング

CSAジャパンは、「ロボット支援手術（RAS）システムの脅威モデリング（前編）」と題するブログ記事を公開した。

製品・サービス・業界動向業界動向

2023年8月29日（火） 08時00分

　一般社団法人日本クラウドセキュリティアライアンス（CSAジャパン）は8月21日、「ロボット支援手術（RAS）システムの脅威モデリング（前編）」と題するブログ記事を公開した。執筆者は関西支部メンバー健康医療情報管理ユーザーワーキンググループのリーダーである笹原英司氏。

　同ワーキンググループなどが1月に「遠隔手術机上演習ガイドブック」を公開したことから、脅威モデリングの観点からRASシステムに代表されるクラウドコンピューティングを利用した医療機器のサイバーセキュリティについて考察している。医療機器以外でも参考にできる内容といえそうだ。

　脅威モデリングに関しては、米国食品医薬品局（FDA）が2016年12月28日に「医療機器におけるサイバーセキュリティの市販後管理 - 業界および食品医薬品局スタッフ向けガイダンス」を公開している。この「一般原則」の「市販前の考慮事項」には、次の項目を挙げている。

・資産、脅威、脆弱性の特定
・機器の機能とエンドユーザー／患者における脅威や脆弱性の影響度評価
・脅威や脆弱性が悪用される確率の評価
・リスクのレベルと適切な低減戦略の決定
・残存リスクと許容リスクの基準の評価

　また、「医療機器市販後の考慮事項」では、次の項目を挙げている。

・サイバーセキュリティの脆弱性とリスクの特定・検知に関するサイバーセキュリティ情報ソースのモニタリング
・以下のようなメカニズムを含む堅牢なソフトウェアライフサイクルプロセスの維持
　機器のトータル製品ライフサイクルを通した新たな脆弱性の関するサードパーティ製ソフトウェアコンポーネントのモニタリング
　汎用(OTS)ソフトウェア関連など、脆弱性の救済に利用されるソフトウェアのアップデートやパッチに関する検証やバリデーションの設計
・脆弱性の存在や影響度に対する理解、評価、検知
・脆弱性の取込や処理に関するプロセスの確立と伝達
・サイバーセキュリティリスクから保護、対応、復旧する低減策の構築によって、機器の安全性および不可欠なパフォーマンスを維持する方法を明確に規定するための脅威モデリング利用
・協調的脆弱性開示ポリシーおよびプラクティスの採用
・初期および悪用される前にサイバーセキュリティリスクに取組む低減策の展開

　このガイダンスでは脅威モデリングを、「目標と脆弱性を特定し、システムに対する脅威の影響を防止または低減する対策を明確にすることによって、ネットワーク／アプリケーション／インターネットセキュリティを最適化するための手法」と明記している。

　一方、2023年3月に厚生労働省が公表した「医療機器のサイバーセキュリティ導入に関する手引書（第2版）」では、脅威モデリングに関する記述は「市販前の考慮事項」のみにとどまり、「市販後の考慮事項」には記述されていない。

　FDAのガイダンスを受けて、MITREが医療機器イノベーションコンソーシアム（MDIC）と共同で2021年11月30日に公開したのが「医療機器脅威モデリングプレイブック」である。プレイブックでは脅威モデリングについて、「セキュリティ及びプライバシーの特性に関する懸念に焦点を当てたシステム表現の分析」としている。

　また、脅威モデリングを行う際には次の4つの設問に答えることが必要としている。

設問1：我々は何に関する作業を行っているのか？
設問2：何が悪い結果をもたらし得るか?
設問3：我々はそれに関して何をしているか？
設問4：我々はよい仕事をしたか?

　そして、脅威モデリングを実行する際には、システムにどんな問題が起こり得るかを認識し始めることになる。また、システムのライフサイクルにおける早期段階か、それとも全体を通してかどうかなど、低減策を必要とするような設計・実装時の課題を指摘することを可能にする。

　脅威モデルのアウトプットは、脅威として知られており、あとに続く設計、開発、検証、実装後フェーズにおいて行う可能性がある意思決定に必要な情報を提供するものとなる。

　クラウド環境の脅威モデリングに関連しては、CSAのトップスレッドワーキンググループが2021年7月29日に「クラウド脅威モデリング」を公開している。同文書は、クラウドのアプリケーション、サービス、およびセキュリティに関する意思決定において、脅威モデリングを可能にし、推奨することを目的としている。

　クラウド環境の脅威モデリングでも、オンプレミス環境時と同様の手法を利用するが、「範囲」「資産」「脅威」「実施されるコントロール」「格付け」「提案される緩和策」といったクラウド固有の考慮事項に配慮する必要があるとしている。

　クラウド脅威モデルの構築に責任を持つべきチームは、システムの全体的なアーキテクチャ、コンポーネント・サービス、インフラストラクチャ、ビジネス状況の理解と、対象システムまたは設計に関連する敵対的な視点を有するセキュリティとクラウドの専門人材から構成されるチームとしている。しかし、日本国内の研究開発や臨床開発の現場では、それに必要な人材や経験、知見が圧倒的に不足している。

《吉澤亨史（ Kouji Yoshizawa ）》