アイリスは、「みんなで共創できる、ひらかれた医療をつくる。」をミッションとし、医師のもつ匠の技をデジタル化するAI医療機器を開発しています。
医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、自社製品のセキュリティ対策強化と、薬機法および「医療機器のサイバーセキュリティ導入に関する手引書」に即し、ソフトウェア構成管理プロセスにおいてSBOMを作成、脆弱性管理に対応するため、yamoryの導入を決定いただきました。
そこで、情報システム基盤 部門長 有川 晃貴氏に、今回のyamory導入の背景についてお伺いしました。
-
この度は、yamoryをご導入いただきありがとうございます。まず、アイリス様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください。
有川氏:
昨今、医療機関に対してランサムウェアなどを用いたサイバー攻撃が相次いで発生しています。特に、医療機器を標的としたランサムウェア攻撃が目立っており、医療機器メーカーである私たちとしても、3省2ガイドライン(※1)への取り組みや技術的な安全対策措置の整備に加え、外部機関による脆弱性診断などのセキュリティ対策の強化に取り組んできました。
また、IMDRFガイダンス(国際医療機器規制当局フォーラムが発行した「医療機器サイバーセキュリティの原則及び実践」)(※2)を踏まえ、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました(※3)。
さらに、「医療機器のサイバーセキュリティ導入に関する手引書(第2版)」(※4)では、SBOMの要素と推奨フォーマットが示されており、また、医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供などを求めています。経過措置期間は1年とされているため、2024年3月末までの対応に向けて急いで検討を進めており、SBOM対応が可能な脆弱性管理ツールを探していました。
※1:医療に関する情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドライン。厚生労働省によるもの(https://www.mhlw.go.jp/stf/shingi/0000516275.html)と、経済産業省・総務省によるもの(https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html)の2つで構成。 ※2:Principles and Practices for Medical Device Cybersecurity ※3:厚生労働省:医療機器基本要件基準告示改正の施行通達(2023年3月31日) 404 Not Found ※4:厚生労働省:医療機器のサイバーセキュリティ導入に関する手引書の改訂について(2023年3月31日) |
-
そんななか、yamoryを選んでいただいた理由や導入後の効果について教えて下さい。
有川氏:
まず1つ目に、厚生労働省が求める基準に即したSBOM対応が可能であるという点です。
今後医療機関へのSBOM提出が求められることから、yamoryではSBOM最小要素の対応はもちろん、標準フォーマットでの作成・出力が可能であるという点が決め手でした。SBOM標準フォーマットだけでなく、CSV形式での出力も可能なため、まだSBOM対応が進んでおらず標準フォーマットのSBOMファイルを受け取っても中身を見られないという医療機関も多くあります。そういった医療機関に対しても、CSVでSBOMを提出することで、内容の確認が可能です。
2つ目に、UIがシンプルで使いやすく、国産ツールであるという点です。
yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、現状の確認と対応の効率が高まります。
また、脆弱性管理の領域、特にSBOMツールは海外製品が多いなかで、国産サービスであることが大きなポイントでした。yamoryは日本語対応のUIやドキュメントが豊富なこと、クラウドデータが国内のサーバーに保管されることも、安心して利用することができる点と感じています。
3つ目に、ITシステムの脆弱性対策とSBOM対応をyamory1つで完結できる点です。
yamory を導入することで、OS・ミドルウェア、クラウドなど複数のレイヤーの脆弱性を一元管理でき、さらに医療機関へのSBOM提出にも対応することができます。それぞれ異なったツールや海外製品を導入するよりも、効率的で網羅的な脆弱性対策が可能となり、コスト面・工数面でも大きなメリットであると感じています。
-
そのようにご期待いただけて大変有り難いです。今後もより効率的で精度の高い脆弱性対策・ITシステム全体のリスク管理ができるツールとして、皆さまにご活用いただけるよう目指してまいります。
-
【医療機器メーカー対応必須】IMDRFガイダンス・薬機法対応セミナー
yamoryでは、IMDRFガイダンスや「医療機器のサイバーセキュリティ導入に関する手引書」の概要と、その中で対応が求められるSBOMや、製品ライフサイクル全体の脆弱性管理について解説するセミナーを開催します。2024年3月末までの対応に向け、SBOM対応・脆弱性管理をご検討の方はぜひご参加ください。
<開催概要>
開催日:10月4日(水)13:00~14:30
参加料:無料
視聴方法:Zoomでのオンライン配信
お申込:https://seminar.yamory.io/about_imdrf-10
<ウェビナーでご紹介する内容>
・IMDRFガイダンスや「医療機器のサイバーセキュリティ導入に関する手引書」の概要
・SBOM対応や、製品ライフサイクル全体の脆弱性管理について
・脆弱性管理クラウド yamory のSBOM機能や脆弱性管理機能の紹介
・Q&A
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
Twitter:https://twitter.com/yamory_sec
運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。