医療機器の研究開発を行う大研医器が、脆弱性管理クラウド「yamory」を導入
Table of Contents
プレスリリース要約
大研医器は、企画開発から製造・販売までを一貫して行う医療機器メーカーです。医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、薬機法をはじめとする法要件に即したSBOMの生成、脆弱性管理に対応するため、yamoryの導入を決定いただきました。
そこで、製品開発課の木中様に、今回のyamory導入の背景についてお伺いしました。
この度は、yamoryをご導入いただきありがとうございます。まず、大研医器様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください。
木中氏:
当社は、医療機器の企画・製造・開発・営業を一気通貫で行っています。昨今、医療機関に対するサイバー攻撃が相次いで発生しており、特に医療機器を標的としたランサムウェア攻撃が目立っています。当社としても、お医者様・患者様に安心してご利用いただけるよう、品質保証やセキュリティ対策には力を入れてきました。
昨今のサイバー攻撃増加を受け、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました(※1)。1年間の経過措置がとられた後、2024年4月以降サイバーセキュリティ対応が必須となります。医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供などが求められていることから、SBOM対応が可能な脆弱性管理ツールを探していました。
※1:厚生労働省:医療機器の基本要件基準第12条第3項の適用について(2023年3月31日)
https://www.mhlw.go.jp/web/t_doc?dataId=00tc7558&dataType=1&pageNo=1
そんななか、yamoryを選んでいただいた理由や導入後の効果について教えて下さい。
まず1つ目に、厚生労働省が求めるSBOM管理・脆弱性管理が可能であるという点です。
基本要件基準への適合性確認においては、医療機器のセキュリティ規格であるJIS T 81001-5-1に基づいた対策の実施が必要とされ(※2)、ソフトウェア構成管理プロセスへの対応としてSBOMの作成が求められています。yamoryではSBOM最小要素の対応はもちろん、代表的なフォーマットでの作成・出力が可能であるという点が決め手でした。
さらに、ソフトウェア問題解決プロセスへの対応としては、新たに脆弱性が見つかった場合の通知・対応が求められており、yamoryでは脆弱性が自動で検出・通知される点もポイントでした。
※2:厚生労働省:医療機器の基本要件基準第 12 条第3項の適合性の確認について(2023年5月23日)
https://www.pmda.go.jp/files/000252724.pdf
2つ目に、オートトリアージ機能とわかりやすいUIです。
yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、対応すべき脆弱性をすぐに確認することができます。外部のリソースに依存するのではなく、yamory独自のデータベースに脆弱性情報が集約されているため、迅速な脆弱性検知が可能な点にも魅力を感じています。
*オートトリアージ機能は特許を取得しています(特許番号:6678798号)
3つ目に、パッケージ管理ツールベースのスキャン方式であり、精度が高い点です。
yamoryはパッケージ管理システムの出力結果を解析する形でスキャンするため、ソースコード、バイナリスキャン方式と比較してノイズが少なく、精度が高いためスキャン後の精査が不要な点もポイントでした。当社では基本的にパッケージ管理を行っているため、機能面・費用面においてもyamoryが最適だと判断しました。
そのようにご期待いただけて大変有り難いです。今後もより効率的で精度の高い脆弱性対策・SBOM管理が可能なツールとして、皆さまにご活用いただけるようサービスを磨いてまいります。
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
X(旧Twitter):https://twitter.com/yamory_sec
運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
引用元:PR TIMES