医療機器向け
セキュリティ試験サービス
医療機器の開発・製造に関わる企業向けに、
医療機器の脆弱性試験および
ペネトレーション試験サービスを提供いたします。
医療機器のセキュリティ対策概要
近年、医療機器・IoT機器・ネットワーク機器など、ソフトウェアを含む製品は高機能化とともに外部ネットワークとの接続機会が増え、サイバー攻撃の対象となる領域が拡大しています。それに伴い、脆弱性を起点とした不正アクセスや情報漏えい、サービス停止などの被害が深刻化してきました。特に医療分野においては、患者の安全性や医療提供体制にも影響を及ぼしかねない重要なリスクとなります。
このような背景から、製品のセキュリティを客観的かつ体系的に評価する取り組みとして、医療機器をはじめとする組込みソフトウェアやシステム製品の安全性・品質を保証する国際規格等への準拠の必要性が高まってきました。
医療機器セキュリティ対策に関連した法案
医療機器は、ソフトウェアの搭載やネットワーク接続の拡大により、サイバーセキュリティ上のリスクを考慮した設計・評価が求められる製品分野となっています。このため、国際的および国内的な枠組みにおいて、医療機器を含むソフトウェアシステムのセキュリティ対策や試験に関する規格が整備されています。
【国際規約】 IEC 81001
IEC 81001 は、IEC(国際電気標準会議)によって発行された、医療機器を含むソフトウェアシステムのセキュリティに関する国際規格です。医療機器のライフサイクル全体を通じて、セキュリティリスクを管理するための考え方や活動を整理しており、リスクマネジメント、設計、検証・試験、運用といった各段階における要求事項が示されています。
この規格群の一部として、ソフトウェアシステムに対する試験の位置づけや、脆弱性試験・侵入試験といった評価活動についても整理されています。
【国内規約】 JIS T 81001
JIS T 81001 は、IEC 81001 を基に、日本国内で利用できるよう整備された日本産業規格(JIS)です。医療機器分野においては、厚生労働省が示す医療機器のサイバーセキュリティに関する考え方やガイダンスとの整合性を踏まえ、国際規格に基づく対応の一つとして位置づけられています。
JIS T 81001 は、医療機器を含むソフトウェアシステムのライフサイクル全体を通じたセキュリティリスクマネジメントの考え方を整理しており、設計・開発・検証・運用といった各段階で参照される規格の一つです。
IEC 81001-5-1
IEC 81001-5-1は、IEC 81001 規格群の中で、ソフトウェアシステム試験に関する内容を定めた規格です。本規格では、ソフトウェアシステムに対して実施される試験活動の一つとして、脆弱性試験および侵入試験が位置づけられています。
具体的には、ソフトウェアやシステムに存在する脆弱性を確認するための試験や、攻撃シナリオを想定した侵入試験を通じて、セキュリティ上のリスクを把握することが求められています。
本サービスのお問い合わせはこちらから
サービス内容
本サービスでは、医療機器を対象に、脆弱性試験およびペネトレーション試験を実施します。
試験項目は、IEC 81001-5-1 の 5.7.3(ぜい(脆)弱性試験)および 5.7.4(侵入試験)に基づきます。
5.7.3 脆弱性試験
| 内容 | |
|---|---|
| a) 想定外入力を用いた悪用ケース試験 | すべての外部インタフェース/プロトコルに対し、想定外入力を用いた悪用ケース試験を実施(手動/自動)。必要に応じて、ファジングやネットワーク負荷試験(段階実施・停止条件定義)等を含める。 |
| b) 攻撃対象領域試験 | 進入路・退出路を特定し、全ての外部I/Fとデータ入出力経路(ログ/エクスポート、外部送信等)について、弱いアクセスコントロールでないこと、不要な開放ポートがないこと、サービスが意図した権限で実行されていることを確認する試験。 |
| c) 既知の脆弱性 | ツールを用いて、ハード及びインターフェイス等から既知の脆弱性(CVE等)のスキャンを実施する。 |
| d) ソフトウェアコンポジション解析 | 全てのバイナリ実行ファイル(サードパーティ提供の組込みファーム含む)に対し、SCA(ソフトウェアコンポジション解析)で既知の脆弱性・脆弱ライブラリ・ルール違反・危険なビルド設定・SBOMとの差分を検出する。 |
| e) 動的セキュリティ試験 | ファジング等の動的試験(ツール使用)で静的解析では見えない実行時欠陥(ランタイムハンドルの解放失敗,メモリーリーク及び認証なしでの共有メモリー へのアクセスによるサービス妨害状況等)を検出する。 |
| 主な試験 | |
| a) 想定外入力を用いた悪用ケース試験 | ・境界値・不正値試験 ・負荷試験 等 |
| b) 攻撃対象領域試験 | ・アタックサーフェス調査 ・ポートスキャン ・アクセス制御確認 等 |
| c) 既知の脆弱性 | ・ネットワーク脆弱性スキャン 等 |
| d) ソフトウェアコンポジション解析 | ・ファームウェア及び、 バイナリ実行ファイル解析(SCA) ・SBOM照合 等 |
| e) 動的セキュリティ試験 | ・ファジング試験 等 |
5.7.4 侵入試験(ペネトレーション試験)
| 内容 | |
|---|---|
| 侵入試験 | 攻撃者視点で脆弱性を発見・悪用し、機密性/完全性/可用性の侵害に至る弱みを特定する侵入試験(手動+ツール、複数脆弱性の連鎖も含む)を実施する。 |
| 主な工程 | |
| 侵入試験 | 1.範囲定義(目的・対象・成功条件) 2.攻撃シナリオ設計(スキャン結果等も参考) 3.疑似攻撃の実施(手動+ツール:侵入試行/認証回避/権限昇格・横展開/連鎖攻撃) 4,結果・対策報告 |
サービスの特徴
規格を参照した体系的評価
JIS T 81001-5-1/IEC 81001-5-1 に基づく試験項目で評価を実施し、客観性の高い結果をご提供します。また、侵入試験では、ヘルスソフトウェアの開発に関与していない要員を含めることが望ましいとされており、独立性の観点から第三者による評価を推奨します。
豊富なセキュリティ知見
当社が長年にわたって蓄積した脆弱性診断・侵入試験のノウハウを活用します。
報告書による改善支援
脆弱性の発見だけではなく、対策優先度や改善ポイントを明示した実用的なレポートを提出いたします。
サービスの流れ
サービス提供までの流れについては、以下のSTEPでご提供しております。
STEP1
ヒアリング
現状の状況や環境を把握するのに必要な情報を、ヒアリングシートのご入力、またはお打ち合わせ等で確認させて頂きます。
STEP2
御見積・対応範囲
適切な対応方法や機種によっての対応範囲を調査・検討し御見積りいたします。
STEP3
試験実施
設計の適切性や、機器の機能、実際の運用における機能も含め、試験を行います。
STEP4
レポート報告
試験の実施結果をレポートとしてご提出致します。
サービス価格
対象機器によって診断内容が変わるため、ご要件に応じて都度御見積をご提示させていただきます。
対象機器の機能等によって診断が難しい場合、すべての機能ではなく限定的に診断を行う場合がございます。
詳細は以下よりお問い合わせください。
関連サービス
サービスメニューに関連した他サービスについてご案内いたします。
IoT機器試験サービス
 |
|---|
| 『CRA対策支援サービス』 |
| 欧州で販売される「デジタル要素を有する製品」に対し、サイバーセキュリティ対応を義務付けるCRA(欧州サイバーレジリエンス法)の対応をご検討のお客様へ、支援メニューをご提案いたします。 |
 |
| 『IoTセキュリティ診断』 |
| IoT 機器に対して適切と思われる診断プランをもとに、セキュリティのテスト手法を駆使して網羅的な診断を実施します。 |
 |
| 『EN 18031 に準拠した試験サービス』 |
| 欧州のRE指令のセキュリティ要件を満たす EN 18031の対応をご検討のお客様へ、本サービスをご提案いたします。 |
 |
| 『脆弱性管理支援サービス』 |
| オーダーメイドでSBOMの脆弱性調査から評価報告までの運用管理をサポートします。 |
SBOMツール
 |
|---|
| 『ONEKEY』 |
| バイナリひとつで製品の自動解析を行うSaaSプラットフォームツール
・SBOMの自動生成・リバースエンジニアリング・脆弱性リアルタイム監視 |
 |
| 『SBOM.JP』 |
| 共有フェーズ以降にフォーカスし、SBOM管理に必要な機能および脆弱性管理機能を提供します。 |
医療機器セキュリティ対策をご検討の際は
お気軽にご相談ください。
セキュアイノベーション サービス一覧
