Service
医療機器サイバーセキュリティソリューション
近年、セキュリティ要件の厳格化が進行しており、特に「JIS T 81001-5-1:2023」の遵守が必要とされています。
この要件を満たすためのファジング、ペネトレーションテスト、PSIRT脆弱性管理、セキュリティ機能試験など、医療機器に対するセキュリティ要件適合性試験の実施をサポートいたします。お客様のプロジェクト状況やご要望に応じて、最適な解決策を提案させていただきます。
医療機器サイバーセキュリティソリューションの利用メリット
- POINT1上流フェーズで脅威分析等を実施することにより無駄な検査工程を排除
- POINT2 コンサルティングからツール販売・導入支援などをワンストップで提供
- POINT3 ヒアリング・事前調査結果からお客様の製品に最適化された個別サービスを提供
- POINT4多くのドメインで積み重ねてきた技術・ノウハウを用いた各種セキュリティサービスを提供
医療機器サイバーセキュリティソリューションの概要
「JIS T 81001-5-1:2023」に沿って、お客様が実施する必要がある認証機関等にご提出する書類の内容についてご支援が可能です。
IEC 81001-5-1に対するサービスマップ
主なご支援内容は、以下の通りです。
1.脅威分析・リスク評価
製品に対する脅威分析、リスク評価を実施します。
●脅威分析・リスク評価の流れ
-
1.
資産特定
製品において守るべき資産およびその資産が攻撃された場合の影響を導出します。 -
2.
脅威分析
製品に対する脅威およびその実現手段である攻撃経路を導出します。 -
3.
リスク評価
CVSS等一貫性のあるスコアリング方式を用いて評価します。 -
4.
対策検討
セキュリティリスクコントロール手段を提案します。
2.セキュリティテスト
製品に対して各観点でセキュリティ上の問題の有無を検証します。
テスト内容は、脅威分析実施後に確定します。
主なテスト内容
| テスト名 | 観点 |
|---|---|
| セキュリティ要求事項試験 | セキュリティ要求を満たしているかを検証します |
| 脅威軽減試験 | 脅威分析および対策をインプットとして、対策が有効かを検証します |
| 脆弱性試験: ファジング(ファズテスト) |
不正な/予期しない入力に対する耐性を検証します |
| 脆弱性試験: 脆弱性スキャン |
ソフトウェアコンポーネントに対し、既に知られている(既知の)脆弱性の有無を検証します |
| 脆弱性試験: ソフトウェアコンポジション解析 |
バイナリ実行ファイルで、使用されているOSS等のソフトウェアコンポーネントを特定し、既知の脆弱性の有無を検証します |
| 侵入試験: ペネトレーションテスト |
悪用可能な弱点(脆弱性)の有無を検証します |
3.SBOM支援ソリューション
SBOM 管理業務は、SBOMやOSS等のコンポーネントに対する知識や知見が必要です。
精度の高い作業には、一定の人の判断等も必要となるため、社内の要員だけでは、十分な対応が難しい場合もあります。
当社では、「JIS T 81001-5-1」/「医療機器のサイバーセキュリティ導入に関する手引書」に記載の内容をベースとした、SBOM管理業務もご支援できます。
OSS / SBOM 管理ツール 「Black Duck」 の詳細はこちら
4.進め方の論証支援
単にセキュリティテストを実施するだけではなく、認証を得るための論証支援を行います。
- ①テスト結果やSBOMの運用状況から今後の方向性を導出し、進め方のプロセスを提案
- ②論証文書の作成を支援
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。