メインコンテンツへスキップ

投稿トピック: 医療機器のセキュリティ

捉えられない沈黙:MAUDEがより安全なデバイスを求める声をいかに増幅させるか

著者 ジュリア・アナロロ on 。 で掲示される 医療機器のセキュリティ, リソースとニュース.

Health-ISAC 医療機器セキュリティ担当副社長 Phil Englert による医療機器ブログ

医療機器の所有者は、医療機器メーカーが医療技術における既知だが未公開の脆弱性について公開する情報が限られていること、そして既知の脆弱性へのパッチ適用のスピードにますます不満を募らせています。食品医薬品局(FDA)のMAUDEを活用することで、迅速な対応が可能になるかもしれません。

FDAのMAUDEデータベース(製造業者およびユーザー施設の機器エクスペリエンスの略)は、医療機器に関連する有害事象報告の公開リポジトリであり、FDAの市販後調査戦略の一部です。その主な目的は、機器の市場投入後、FDAが機器の性能を監視し、潜在的な安全性の問題を検出し、ベネフィット・リスク評価を支援することです。義務報告者(製造業者、輸入業者、医療機関など)は、機器が死亡、重傷、または故障の原因となった、あるいはその一因となった可能性がある場合に報告を提出する必要があります。自発報告者(医療従事者、患者、介護者など)も、機器関連の問題を観察または経験した場合に報告を提出できます。

MAUDEについてさらに詳しく読むには、 TechNation のサイバー関連の MAUDE レポートの説明例。

詳細

医療機器のセキュリティ:ヘルスケア業界の購入者が本当に求めているもの

著者 ジュリア・アナロロ on 。 で掲示される 医療機器のセキュリティ, ホワイトペーパー.

サイバーセキュリティは今や市場へのアクセスの門番となっている

2025年医療機器サイバーセキュリティ指標の概要

医療業界はサイバーセキュリティの転換点に達しています。医療機関の22%が 医療機器を侵害するサイバー攻撃を受けた経験があり、そのうち75%が 患者ケアに直接影響を与える事件。攻撃により患者が他の施設に搬送される必要がある場合 施設の故障は4分の1近くのケースで発生しており、もはやITの話ではない。 不便ではありますが、医療上の緊急事態です。

 

医療機器のセキュリティに対する需要は高い

1. SBOMによる透明性 – 78%が、調達の意思決定においてソフトウェア部品表(BOM)が不可欠だと考えています。これは単なる規制遵守ではなく、相互接続されたエコシステムにおける実用的な脆弱性管理です。

2. 組み込み型セキュリティとボルトオン型セキュリティ – 60%が、後付けのソリューションよりも統合的なサイバーセキュリティ対策を優先しています。医療業界のリーダーたちは、高度な攻撃に対して応急処置的なセキュリティ対策では効果がないことを学んでいます。

3. 高度なランタイム保護36% の回答者はランタイム保護機能を備えたデバイスを積極的に求めており、他の 38% はそれを認識しているもののまだ必要としていないことから、早期導入から主流への期待へと市場が急速に進化していることがうかがえます。

Health-ISAC ナビゲーターの RunSafe Security によるホワイト ペーパーをお読みください。 詳細

医療サイバーセキュリティの現状:進歩と落とし穴

著者 ジュリア・アナロロ on 。 で掲示される ニュースで, 医療機器のセキュリティ.

Health-ISAC の Phil Englert 氏と UI Health の Murad Dikeidek 氏が、医療分野のセキュリティの課題について語り、洞察を提供します。

医療分野はサイバーレジリエンスの面で進歩を遂げているものの、連携、サイバー人材の問題、予算の制約など、依然として根深い課題に直面しており、敵対者が戦術を変えるにつれて常に適応と優先順位の変更が求められると、セキュリティ専門家のフィル・エングラート氏とムラド・ディケイデック氏は述べた。

「ますます増えているのに、まだ十分ではないことの一つが情報共有です」と、医療情報共有分析センターの医療機器セキュリティ担当副社長、エングラート氏は語る。

情報共有は、業界全体が直面している脅威をより深く理解する上で極めて重要だが、医療提供者がどの程度の詳細を開示すべきかについては多くの組織で依然として不確実性がある、と彼は述べた。

この会話を「Data Breach Today」で読んだり聞いたりしてください。 詳細

Contec CMS8000の脆弱性

著者 ジュリア・アナロロ on 。 で掲示される 医療機器のセキュリティ, リソースとニュース.

Contec CMS8000 の脆弱性: 重大なサイバーセキュリティ上の懸念か、それとも不適切なコーディング方法か?

TechNation の Health-ISAC 医療機器セキュリティ ブログ

著者:Phil Englert、Health-ISAC 医療機器セキュリティ担当副社長

30年2025月25日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Contec CMS030患者モニターの重大な脆弱性を指摘する医療勧告ICSMA-01-8000-8000を発表しました。これらの脆弱性には、境界外書き込み、隠れたバックドア機能、プライバシー漏洩などが含まれており、患者の安全とデータセキュリティに重大なリスクをもたらします。米国食品医薬品局(FDA)も同日、これらの脆弱性に関連するリスクを強調する安全性に関する通知を発表しました。FDAは、Contec CMS120およびEpsimed MN-8000などの再ラベル版が、権限のないユーザーによって遠隔操作され、患者データやデバイスの機能が侵害される可能性があると指摘しました。CMS2005は510年頃に発売され、2011年XNUMX月にFDA XNUMX(k)承認を取得しました。

FDAは医療従事者と患者に対し、2つの推奨事項を示しました。1つ目は、リモートモニタリング機能に依存している場合は、デバイスのプラグを抜き、使用を中止することです。2つ目は、ワイヤレス機能を無効にしたり、イーサネットケーブルを抜いたりするなど、ローカルモニタリング機能のみを使用することをFDAは推奨しています。生理学的モニターは救命や延命治療を行うものではありませんが、リスクのある患者の状態をモニタリングする上で不可欠です。患者モニターは集中的に監視され、患者の状態の変化を医療従事者に迅速に通知します。迅速な対応が、良好な結果と悪い結果を分ける可能性があります。

CISAによって開示され、FDA、Claroty、Cyleraによって分析されたContec CMS8000の脆弱性は、医療現場における堅牢なサイバーセキュリティ対策の必要性を浮き彫りにしています。また、脆弱性は悪意ではなく、安全でない設計に起因する可能性があり、患者の安全とデータセキュリティへの潜在的な影響を過小評価できないことも浮き彫りにしています。医療提供者は、これらのリスクを軽減し、医療機器の完全性を確保するために迅速に行動する必要があります。

TechNation でブログ全文をお読みください。 詳細

 

医療機器のサイバーセキュリティはHHSの人員削減によって脅かされる可能性がある

著者 ジュリア・アナロロ on 。 で掲示される ニュースで, 医療機器のセキュリティ.

旧式医療機器のサイバーセキュリティ保護に関する下院小委員会の公聴会は、HHSの予算削減によって影を潜めている。

「老朽化した技術、新たな脅威:従来の医療機器におけるサイバーセキュリティの脆弱性の調査」に関する監視および調査小委員会の議論に参加したパネリストは、FDA の人員削減が医療機器のセキュリティに与える影響について質問されました。 

「素晴らしい」と、ノースイースタン大学コーリー・コンピュータサイエンス学部の電気・コンピュータ工学科教授ケビン・フー氏は語った。フー氏は以前、FDAの医療機器・放射線保健センター(CDRH)の医療機器サイバーセキュリティの初代代理ディレクターや、デジタルヘルス・センター・オブ・エクセレンスのサイバーセキュリティのプログラムディレクターを務めていた。

エリック・デッカー、副社長兼CISO インターマウンテン 保健省の局長は、FDAはサイバーセキュリティの取り組みにおける重要な利害関係者であると述べた。

「はい、影響はあるでしょう」とデッカー氏は語った。 

同氏は、医療機器メーカー、病院、FDAが提携していると述べた。HHS、FDA、医療業界は、保健分野調整協議会(HSCC)のサイバーセキュリティ作業部会(CWG)の下に多数のタスクグループを設立した。

しかし、デッカー氏は、分析によれば、平均して病院では医療機器のセキュリティに関する医療業界サイバーセキュリティ実践(HICP)の推奨実践の約55%しか実施されていないことが示されていると述べた。 

デッカー氏は、脅威の主体には国家主体、組織犯罪、「ハクティビスト」、内部脅威の4つのグループがあると述べた。 

保健分野調整協議会サイバーセキュリティ作業部会のパネリスト、グレッグ・ガルシア事務局長は、来週、医療システムがサイバーセキュリティ保護のための資金と人員の面でいかに不足しているかに関する白書を発表すると述べた。

記事全文は、Healthcare Finance News でご覧ください。 詳細

HTM スタッフが HIPAA セキュリティ ルールの変更案に備える方法

著者 ジュリア・アナロロ on 。 で掲示される ニュースで, 医療機器のセキュリティ.

TechNation の Health-ISAC 医療機器セキュリティ ブログ

著者:Phil Englert、Health-ISAC 医療機器セキュリティ担当副社長

 

27 年 2024 月 1996 日、米国保健福祉省 (HHS) の公民権局 (OCR) は、XNUMX 年の医療保険の携行性と責任に関する法律 (HIPAA) のセキュリティ ルールを改正する規則制定案通知 (NPRM) を発行しました。その目的は、電子医療情報 (ePHI) を保護するサイバー セキュリティ防御を強化することです。この提案された更新は、サイバー脅威が増大する時代に、機密性の高い医療情報を保護するための積極的なアプローチを表しています。

提案された修正案では、ePHI 保護を強化するためのいくつかの重要な対策が強調されています。これらの規則の一部はプロセス指向であり、いくつかは技術的なものです。提案されたこれらの変更を調達プロセスに組み込むことで、組織は変更が発効したときにそれに備えることができます。ここでは、医療機器に特に関連するものをいくつか紹介します。

この記事の続きは TechNation でお読みください。 詳細

医療提供者向け医療機器リスク影響分析

著者 ジュリア・アナロロ on 。 で掲示される 医療機器のセキュリティ, リソースとニュース.

TechNation の Health-ISAC 医療機器セキュリティ ブログ

著者:Phil Englert、Health-ISAC 医療機器セキュリティ担当副社長

医療業界において、医療機器の安全性と有効性の確保は最優先事項です。サイバーセキュリティは脆弱性に焦点を合わせがちですが、脆弱性分析は重要ではあるものの、その範囲は限定的です。脆弱性は、脆弱性の危険性を判断する共通脆弱性評価システム(CVSS)を用いて評価されます。これは有用な情報ですが、製品ではなく、脆弱性が存在するコンポーネント内の脆弱性リスクを考慮しています。この限定的な視点では、脆弱性が特定の環境に及ぼすリスクを考慮できません。リスク評価においては、資産の重要性、資産の使用方法、製品内またはネットワーク内で実施されている管理策といった状況要因も考慮する必要があります。これらの制約を考慮すると、医療機器リスク影響分析(MDRIA)の実施は、医療提供者が医療機器に関連するリスクを特定、評価、軽減する上で重要なプロセスとなります。本稿では、MDRIAの必須構成要素について概説します。

TechNation でブログ全文をお読みください。  詳細

上部に Industrial Cyber​​ のロゴ この記事のスクリーンショットが表示されたテレビ画面の画像。 引用: 医療機器のライフサイクルにおける責任の移行のタイムライン

Health-ISACのホワイトペーパーでは、医療機器のライフサイクルにおけるサイバーセキュリティの責任を強調し、回復力に焦点を当てています。

著者 ジュリア・アナロロ on 。 で掲示される 健康-ISAC, ニュースで, ホワイトペーパー.

 

Health-ISAC は、医療機器のサイバー レジリエンスを維持するために必要なタスクと、製品全体にわたって各当事者間で責任がどのように移行するかについて説明したホワイト ペーパーを公開しました。医療機器がライフサイクルの各段階を進むにつれて、タスクの責任がメーカーと顧客の間で移行する場合があります。Health-ISAC のホワイト ペーパーでは、デバイスがライフサイクルを進むにつれて、タスクが調整され、製品内のセキュリティ ギャップが削減されるように、両者間のコミュニケーションが不可欠であるとしています。

「医療機器のライフサイクルにおけるメーカーと医療機関のサイバーセキュリティの役割の調査」と題されたホワイトペーパーでは、 特定した 医療機器は 4 つのライフサイクル フェーズを経て、医療機器メーカーと医療提供組織にさまざまなレベルの責任が課せられます。医療提供組織 (HDO) は、耐用年数終了 (EOL) とサポート終了 (EOS) に向けて、より定期的なリスク評価を実施し、継続使用のリスクを受け入れられるかどうかを判断する必要があります。また、医療機器のサイバー セキュリティ態勢を維持する責任は、機器のライフサイクル全体を通じて進化していくことも指摘しています。 

記事全文は Industrial Cyber​​ でご覧ください。 詳細

医療機器のライフサイクルにおけるメーカーと医療機関のサイバーセキュリティの役割を探る

著者 ジュリア・アナロロ on 。 で掲示される 健康-ISAC, 医療機器のセキュリティ, ホワイトペーパー.

 

TLP: ホワイト このレポートは制限なく共有できます。
Health-ISACメンバーは、Health-ISAC脅威インテリジェンスポータル(HTIP)からレポートの完全版をダウンロードしてください。

主な判決

  • 医療機器は 4 つのライフサイクル フェーズを経て、医療機器メーカーと医療提供組織にさまざまなレベルの責任が課せられます。

  • 医療提供組織は、サポート終了や製品寿命の終了に先立ち、より定期的なリスク評価を実施し、継続使用のリスクを受け入れられるかどうかを判断する必要があります。

  • 製造元は、開発段階でセキュリティ制御カテゴリを実装して、デバイスが設計によるセキュリティ、デフォルトでのセキュリティ、および要求によるセキュリティを備えていることを保証します。

  • サイバーセキュリティを維持するには、ドキュメントと透明性が重要です。これには、詳細なセキュリティ ドキュメント、ソフトウェア部品表 (SBOM)、脆弱性と更新に関する明確なコミュニケーションの提供が含まれます。 

 

このホワイトペーパーをダウンロードしてください。

医療機器のライフサイクルにおけるメーカーと医療機関のサイバーセキュリティの役割を探る
サイズ: 3.2 MB フォーマット: PDF

イントロダクション

医療機器の相互接続が進み、インターネットや無線通信機能を備えるようになると、ライフサイクルの段階とセキュリティ体制を維持するために必要なタスクを理解することで、組織はサイバーセキュリティの脅威からデバイスを保護することができます。デバイスのライフサイクルとは、研究開発から市場投入、そして最終的には耐用年数とサポート終了まで、デバイスが経るさまざまな段階のことです。医療機器がライフサイクルの各段階を進むにつれて、タスクの責任がメーカーと顧客の間で移行することがあります。デバイスがライフサイクルを進むにつれて、両者間のコミュニケーションが不可欠になり、タスクが調整され、製品内のセキュリティギャップが軽減されます。

このドキュメントでは、医療機器のサイバー レジリエンスを維持するために必要なタスクと、製品全体を通じて各当事者の責任がどのように移行するかについて説明します。医療機器のサイバー セキュリティ体制を維持する責任は、機器のライフサイクルを通じて進化します。プロセスは、設計および開発フェーズで機器メーカーから始まり、臨床使用時には医療提供組織 (HDO) に徐々に移行する可能性があります。国際医療機器規制当局フォーラム (IMDRF) の「レガシー医療機器のサイバー セキュリティに関する原則と実践」では、4 つのライフサイクル フェーズについて概説しています。米国食品医薬品局 (FDA) は、市販前および市販後のガイダンスで医療機器のサイバー セキュリティに関する要件を提供しています。メーカーは、市販前要件を使用して、設計および開発中に機器のサイバー セキュリティに対処できます。医療機器が市場に投入された後もサイバー セキュリティのリスクは進化し続けるため、市販後の要件が必要になります。

医療機器のサイバーリスクを生涯にわたって管理する方法

著者 ジュリア・アナロロ on 。 で掲示される ニュースで, 医療機器のセキュリティ.

専門家が増加する在庫の管理に関するアドバイスやプロバイダー向けリソースを提供

HSCCの「医療業界のサイバーセキュリティ - レガシー技術のセキュリティ管理」(HIC-MaLTS)ガイダンスは、組織にレガシー医療技術のサイバーリスクを管理するために使用できるベストプラクティスを提供すると、医療情報共有分析センターの医療機器セキュリティ担当副社長フィル・エングラート氏は述べた。

HIC-MaLTS は、一般的な医療サイバーセキュリティの課題に取り組んでいます。たとえば、「さまざまな種類の医療機器と、それらが使用されるさまざまな場所には、独自のリスクプロファイルがあり、病院、診療所、その他の非臨床および在宅医療の環境で使用できる診断、治療、ウェアラブル、インプラント、医療機器としてのソフトウェアなどの機能が含まれます」と彼は述べています。

この記事には次の内容も記載されています:

  • 医療機器のライフサイクルの4つの段階
  • セグメンテーションとネットワークアクセス制御を組み合わせた「システムビュー」インベントリ
  • HSCC の医療技術サイバーセキュリティ向けモデル契約言語 

Healthcare Infosecurity の記事をこちらでお読みください。 詳細

医療におけるサイバーセキュリティの強化: Health-ISAC の役割

著者 ジュリア・アナロロ on 。 で掲示される ニュースで, 医療機器のセキュリティ.

Health-ISACに参加することで、医療従事者は ハッキングや侵入。

 

サイバー脅威がますます巧妙化し、蔓延する時代において、医療提供者は患者の機密データを保護し、システムの整合性を維持するという特有の課題に直面しています。サイバー犯罪と戦うための強力なツールの 1 つは、医療情報共有および分析センター (Health-ISAC) への参加です。この協力組織により、医療提供者はハッキングや侵害の被害を受けにくくなります。

Health-ISAC メンバーシップの最も重要なメリットの 1 つは、リアルタイムの脅威インテリジェンスにアクセスできることです。サイバー脅威は急速に進化しており、最新の情報を入手することが効果的な防御に不可欠です。Health-ISAC は、新たな脅威、脆弱性、攻撃ベクトルに関する情報を収集して配布します。このインテリジェンスにより、悪意のある攻撃者が積極的に悪用する前に、医療提供者は潜在的なリスクに対処することができます。たとえば、医療システムを標的とする新しいランサムウェアが検出された場合、Health-ISAC はメンバーに迅速に警告し、脅威の詳細と推奨される緩和戦略を提供します。この迅速な情報配布は、軽微なインシデントと重大な侵害の違いになる可能性があります。

サイバーセキュリティは孤独な取り組みではありません。

Health-ISAC の医療機器セキュリティ担当副社長 Phil Englert によるブログ全文を TechNation でお読みください。 詳細

AI、ランサムウェア、医療機器:医療の保護

著者 ジュリア・アナロロ on 。 で掲示される ニュースで.

マクラリー研究所サイバーフォーカスポッドキャスト

司会のフランク・シルッフォが、医療情報共有分析センター (Health ISAC) の最高セキュリティ責任者であるエロール・ワイス氏にインタビューします。

彼らは、ランサムウェア、サプライ チェーンの脆弱性、医療機器と患者データを保護するためのセキュリティ対策の強化の必要性など、医療分野におけるサイバー セキュリティの課題について議論します。ワイス氏は、医療と金融サービスのサイバー セキュリティに関する豊富な経験から得た洞察を共有し、学んだ教訓、情報共有の役割、リスクを軽減するための事前対策の重要性を強調します。

YouTubeでポッドキャストを聴く 詳細

トピックは次のとおりです。

  • 健康とランサムウェア

  • 病院の停電

  • 医療サイバー予算

  • セキュリティとコンプライアンス

  • FSからの教訓

  • 未来の技術

  • 医療機器

  • 分野を超えた情報共有

  • セキュリティに向けた実践的なステップ