ご担当者インタビュー

新井 敏史 様

信頼性保証統括室 品質保証戦略室 品質保証基盤強化グループ長 国内品質業務運営責任者

八郷 雅弘 様

信頼性保証統括室 品質保証戦略室 品質保証基盤強化グループ 主任

知識や経験不足による不安を、ベリサーブの支援で解消

──どのような背景から、製品のサイバーセキュリティ品質保証体制の構築が求められたのでしょうか？

新井： 積水メディカルが製造・販売する機器はインターネットにつながらないものがほとんどですが、一部には接続機能を持ったり、USBポートを備えた管理用PCとセットになっていたりするものもあります。こうした経路からウイルスが侵入し、院内に拡散すれば診療が立ちゆかなくなる恐れがあります。

そこで2022年11月に医療機関自体にサイバーセキュリティ対策が求められる^※1とともに、機器メーカーに対する規制も強化されました^※2。このため、病院や施設から「この機器はどこまでサイバーセキュリティに対応しているのか」を確認する質問状を寄せられることが増えています。

※1 医療機関等におけるサイバーセキュリティ対策の強化について（注意喚起）、厚生労働省、2022年11月10日

※2 医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）、厚生労働省、2025年5月

──品質保証体制を薬機法^※3に対応させていくに当たって、どのような課題がありましたか？

八郷： 関連情報の収集は行っていたものの、われわれにはサイバーセキュリティに関する知識や経験、人材が乏しく、本当に適切なプロセスが構築できるのか、SBOMを用いたソフトウェアの脆弱性管理が適切にできるのかなどという不安がありました。そこで、専門家のコンサルティングを受けながら進める方がベターだと判断しました。

※3 2014年に旧薬事法が改正されて誕生した「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」のこと。医薬品、医療機器、医薬部外品、化粧品、再生医療など製品の品質、有効性、安全性を確保し、保健衛生の向上を図ることを目的にしている。

──さまざまな企業の中から、ベリサーブの支援を受けることにした理由を教えてください。

新井： 積水メディカルの研究所は以前からベリサーブさんと付き合いがあり、対応の良さに好印象を抱いていました。研究所の推薦もあって話を伺い、さまざまな相談に乗っていただけそうだと判断し、コンサルティング的な部分も含め支援を受けることにしました。ただ、当初は「SBOM.JP」ではなく、他のシステムを利用予定でした。

──SBOMの管理にベリサーブの「SBOM.JP」を採用した理由は何でしょうか？

新井： 手作業ではSBOMの作成・更新が難しいためツールの導入を検討していましたが、十分な知識がないため、うまくツールを使いこなせるかが課題でした。そんな折、ベリサーブさんから話を伺い、「SBOM.JP」の提供を開始することを知りました。当社にとってサイバーセキュリティの一元管理ができることは管理・運用面で優位性があると考え、採用することにしました。

八郷： 他のツールも検討したのですが、われわれにとっては不要な機能が多過ぎて運用が難しく、コストもかかると感じていました。また、何かあったときの支援面も心配でしたが、「SBOM.JP」であれば、それまで受けてきたコンサルティングと同様にベリサーブさんの親身な支援が受けられると判断しました。

脆弱性管理を会社として一元管理、自信を持って「私たちは脆弱性を適切に管理しています」と言える体制に

──ベリサーブのセキュリティコンサルティングではどのような支援が得られましたか？

八郷： 「CVEとは何か」という基本的な問題に始まり、複数存在する脆弱性の評価指標をどう活用すべきかといった実践的な悩みに至るまで、さまざまな相談に乗っていただきました。

──「SBOM.JP」を生かしてどのような脆弱性管理体制を運用していますか？

八郷： SBOM情報の登録や脆弱性情報の突合（異なるデータや情報の整合性を確認する作業）といった管理のためだけに人材を張り付けるのは難しく、日々の運用工数が課題でした。そこで、脆弱性管理にまつわる作業をベリサーブさんに委託することとし、仮運用を経て、2024年9月から本格的な運用を開始しました。

製造委託先から収集した医療機器のSBOMを、年に4回ベリサーブさんに連絡しています。そして登録した情報を基に「SBOM.JP」で脆弱性の有無を確認し、弊社に報告していただいています。新たな脆弱性があれば、品質保証戦略室が製品への影響度合いを確認し、必要に応じて修正などの対応を行っています。

こうした定期的な確認以外に、日々のモニタリングを通して緊急性の高い脆弱性が報告された際は、その都度連絡を受けて対応しています。

──具体的にどのようなメリットを感じているのでしょうか？

新井： 「SBOM.JP」の導入によって、以前は製品ごとにバラバラに行っていた脆弱性の管理と対応を一元管理できるようになりました。脆弱性が公表されたら開発に調査を依頼し、顧客からの問い合わせに回答するといった一連の流れに会社として対応できるような仕組みを整備しました。

八郷： 品質マネジメントシステムの向上につながったのはもちろんですが、運用にベリサーブさんの力を借りることで自社での工数や費用の削減につながりました。

──セキュリティ面での効果はありますか？

新井： これまでのところ、システム改修が求められるような深刻な脆弱性は見つかっていません。また、もしこうした体制を整えていなければ、お客様に対して自信を持って「適切に脆弱性が管理できています」と断言できなかったでしょう。胸を張って「大丈夫です」と言える体制ができたのは、非常に良いことだと思っています。

一体となって対応を推進、これからも互いに「良きパートナー」に期待

──セキュリティ品質保証体制を構築する上で、苦労したことはありましたか？

新井： 最初は開発・製造の現場と品質保証部門の役割分担が曖昧なところがありましたが、ベリサーブさんと定期的に打ち合わせを重ね、理解を深めながら少しずつ自分事にしていきました。

八郷： 社員の意識合わせにも苦労しました。ベリサーブさんの担当者も加わり、「なぜ脆弱性管理が必要か、なぜSBOM.JPを導入するのか」と、その必要性を関係者に説明していったことで全体の認識が深まり、信頼関係を築きながら進められることができました。

──ベリサーブやSBOM.JPの良さはどんなところにあると思いますか？

八郷： 親身にわれわれのことを考えていただき、所属する企業は別でも一体感を持ちながらプロジェクトを進められました。ベリサーブさんでなければこのサイバーセキュリティ品質マネジメントシステムは構築できなかったのでないかと思います。サポートが非常に手厚く、SBOM.JP自体も信頼性の高いソリューションですので、同様の体制構築を検討されている他の企業にもお勧めできると思います。

──今回の成功要因は何でしょうか？

新井： 脆弱性管理は自部門だけでは完結しません。他部門や製造委託先も巻き込んで実施する必要がありますが、なかなか理解が得られず、非常に苦労しました。そのような状況の中、べリサーブさんが適切かつ迅速なサポートをしてくださったことが、一番の成功要因だと感じています。べリサーブさんの協力体制のお陰で、より良い医療機器のサイバーセキュリティ体制を構築することができました。

──今後はどのように体制を拡張していく計画でしょうか？

新井： 中国をはじめ、グローバル水準に合わせたセキュリティ品質管理体制の構築を見据え、必要に応じて手を打っていきたいと考えています。また、新たな医療機器分野に事業を拡大する際にも、サイバーセキュリティ面でどのような体制を構築すべきかといった相談に乗っていただけると期待しています。ベリサーブさんとはこれからも、互いに良きパートナーでありたいと思っています。

──ありがとうございました。