TOPセキュリティ > 医療機器のセキュリティ、FDAの「推奨事項」の実効性は(下)...

セキュリティ

医療機器のセキュリティ、FDAの「推奨事項」の実効性は(下)

2017/03/17

Taylor Armerding CSO

 米食品医薬品局(FDA)は、医療機器のセキュリティ向上に関する推奨事項をまとめた文書を2016年末に公開した。2014年10月に公開した文書に続くものだが、いずれも、拘束力のある規則ではなく、あくまで推奨事項だ。

前回から続く)

 FDAの推奨事項の中には、業界内のすべての利害関係者が、情報共有分析機関(ISAO)に参加し、民間部門内や官民間での脅威情報の共有を推進すべしという内容も含まれている。

 ガイダンスでは、ISAOについて、プライバシー保護に関する十分な条項が定められていて、「サイバー脅威の影響の検知、緩和、復旧にプラスになる」との記述がある。

 ISAOへのこうした評価について批判的な見方をしているのが、米Virta LaboratoriesのCEO(最高経営責任者)で米ミシガン大学准教授のKevin Fu氏だ。同氏は、FDAのガイドラインの草案について取り上げた2016年4月の書簡の中で、ISAOに対する「注意と懐疑的態度」を勧めている。

 「データの共有は、そのデータが高品質でなければ有益ではない」と同氏は言う。例えば、ある病院が脆弱性スキャンを行い、脆弱性があるサーバーを使っていることを検知した結果、それよりさらに安全性が低いサーバーに切り替えていた事例があるとのことだ。

Twitterもチェック

↑ページ先頭へ