| 開催日 | 2026年9月4日(金) |
|---|---|
| 開催地 | Web |
■はじめに
近年、医療機器やIoT機器を含む製品に内在する脆弱性への関心が世界的に高まっている。小型センサーを含め、様々な機器やデバイスがネットワークに接続され、相互に連携しながらシステムを形成する現在、製品の脆弱性は、利用者の業務継続や安全性、プライバシーに直接影響し得るリスクとなっている。特に医療分野では、医療機関に対するサイバー攻撃や医療情報システムの停止が国内外で問題となる中、メーカーやSIなどの供給者が、製品ライフサイクル全体を通じて脆弱性にどのように対応するかが問われている。
本講座では、製品セキュリティを活動領域とするPSIRT(Product Security Incident Response Team)の視点と、ユーザー側でインシデント対応を担うCSIRT(Computer Security Incident Response Team)の視点の双方から、脆弱性対応の実務を解説する。具体的には、脆弱性情報の受付、影響評価、修正・緩和策の検討、利用者への通知、外部関係者との調整、情報開示に至る一連の流れを取り上げ、脆弱性に対して「誰が、いつ、何を、どのように対応するのか」を整理する。
また、わが国の医療分野におけるサイバーセキュリティ対策の流れを踏まえ、医療機関と供給者の責任分界を脆弱性対応の観点から検討する。製品・サービスを提供する側には、単に脆弱性を修正するだけでなく、利用環境への影響、業務継続、契約・SLA、情報提供、サポート期限、レガシー機器対応を含めた実務的な判断や対応が求められる。本講演を通じて、医療機器・IoT機器メーカーが整備すべきPSIRT体制と、利用者・関係機関との信頼ある脆弱性調整の進め方について理解を深める。
■想定される主な受講対象者
医療機器・ヘルスケア関連企業、IoT機器メーカー等において、
製品セキュリティ、PSIRT、品質保証、法務、研究・開発、情報システム部門に関わる実務担当者など
1.Vulnerability Response:PSIRTとCSIRTにおける脆弱性への対応
ア.脆弱性とは何か
・技術的・制度的な観点から、脆弱性の基本概念と製品セキュリティ上の位置付けを俯瞰する
イ.脆弱性のライフサイクル
・脆弱性の発見、認知、評価・検証、対策、開示、適用に至る流れを整理する。
あわせて、Coordinated Vulnerability DisclosureとResponsible Disclosureの考え方を取り上げる
ウ.PSIRTとCSIRTの役割
・供給者側で製品セキュリティを担うPSIRTと、利用者側でインシデント対応を担うCSIRTの役割を解説し、
それぞれの行動原理、判断軸、課題を比較する
エ.脆弱性対応に対する現状の課題
・PSIRT側で課題となる点、CSIRT側で課題となる点、それぞれについて行動や機能上の課題について
解説するとともに、解決に向けた取り組みについて解説する
2.サイバー攻撃での脆弱性の悪用と対応の現状
ア.サイバー攻撃での脆弱性の悪用
・攻撃者が脆弱性をどのように悪用するかを概観し、製品・システム・運用に与える影響を整理する
イ.類型に基づく対応上の課題と考察
・ゼロデイ、nデイなど脆弱性悪用事例を類型として示し、対応上の課題を考察する
3.医療分野におけるサイバーセキュリティ対策と脆弱性対応
ア.国内外を見渡しての医療分野に求められている対策についての俯瞰
・医療機器、医療情報システム、IoT機器、関連サービスに求められるサイバーセキュリティ対策を概観する
イ.脆弱性対応と責任分界
・脆弱性の評価視点から、責任分界のポイントや論点を解説し、それぞれの当事者での脆弱性対応や対策に関して
求められる役割分担について整理する
ウ.供給者に求めたい対応
・システムや製品に内在する脆弱性に対して、供給者がどのような情報提供、修正・緩和策、サポート、
顧客調整を行うべきかを検討する
4.まとめ・ディスカッション
ア.医療分野における脆弱性対応
・医療機器・IoT機器メーカーが押さえるべき実務上の論点を整理する
イ.課題の解決や成熟に向けた取り組み例
・PSIRT体制の構築、社内外連携、脆弱性管理プロセス、情報開示、
利用者とのコミュニケーションの成熟に向けた取り組みを議論する

