FDA が新たなサイバーセキュリティ医療機器開発ツールを承認

モニター付き手術室

出版社:

2021 年 4 月 28 日

著者情報:

レズリー・ハインズ

トピック:

, ,

関連サービス

2020年後半、米国食品医薬品局(FDA)の医療機器開発ツール(MDDT)プログラム 発表の 医療機器開発におけるサイバーセキュリティリスク評価のための新しいツールの認定を取得しました。この新しいツール「医療機器へのサイバーセキュリティ共通脆弱性評価システム(CVSS)の適用に関する評価基準」(Mitre Rubricバージョン0.12.04)は、2019年XNUMX月にMITRE Corporationによってリリースされました。このツールの認定と併せて、FDAはサイバーセキュリティ標準も認定しました。 最初 CVSS v3.0 共通脆弱性評価システム バージョン 3.0。

共通脆弱性評価システム (CVSS) は、当初は企業の情報技術システム向けに開発されたもので、医療機器開発に関わるすべての関係者に、重大度と脆弱性を伝えるための一貫性と標準化された方法を提供します。これには、医療機器メーカー、病院、臨床医、患者、国立サイバーセキュリティおよび通信統合センター (NCCIC)、脆弱性研究者などの関係者が含まれます。

FDAは、CVSSを市販前および市販後のリスク評価プロセスの一環として脆弱性の重大性を評価するための例として挙げていますが、同機関は臨床環境と潜在的な患者安全への影響に十分に対処していません。そのため、 FDA は、脆弱性評価を臨床環境に結び付けて患者の安全への潜在的な影響を評価するために、これらの課題に対処するために MITRE Corporation と契約しました。

MITRE Corporationは、複数の利害関係者や専門家と協力して、CVSSを使用してアナリストがより適切に評価できるようにするためのガイダンスを提供するルーブリックを開発しました。 医療機器のリスク.

意思決定の道筋に沿った一連の質問として構成されたこの評価基準には、次の内容が含まれます。

  • カスタマイズされた医療提供組織(HDO):元の仕様に含まれていない特定のガイダンス
  • デバイス固有の例
  • (1)ルーブリックの再現性および/または(2)元のCVSS v3.0仕様の精神への準拠に関する困難についての議論
  • 医療機器メーカーやHDOに関連する多くの観点を考慮すると、(1)患者の安全性、(2)患者/医師のプライバシーなどが挙げられる。
  • プロセスを簡素化するための「意思決定ツリー」または「フローチャート」形式の視覚的なガイド

CVSS には独自の評価基準と一連の構造化された質問があり、最終的には 0 から 10 までの CVSS スコアが計算されます。

ルーブリックのパイロット スタディには CVSS の利用も含まれていました。研究参加者のコメントによると、ルーブリックの使用は CVSS のみの使用よりも複雑でした。ただし、参加者はルーブリックの使用について次のことを発見しました。

  • 議論の洗練を可能にし、チームに体系的に考えることを強制しました(これにより、スコアリング プロセスの再現性、一貫性、正確性が向上しました)
  • 医療と患者の安全への影響に焦点を当てた議論において、研究参加者がより迅速に合意に達することを支援しました。
  • 脆弱性の潜在的な影響に対処するために推奨される緩和策を使用することの価値について顧客に伝えるための便利なツールとして機能しました。

FDA によれば、この手法は「連鎖的な」脆弱性攻撃の影響と緊急性を推定するのには適していませんが、単一のプラットフォームにおける一連の個別の脆弱性は、セキュリティ アーキテクチャを体系的に低下させるために使用されます。これは、攻撃者が目に見えない攻撃ルートを明らかにするまで、アーキテクチャの防御を同時に低下させることによって実行されます。

結論として、ルーブリック ツールと CVSS 標準を組み合わせて使用​​することで、医療機器メーカーや医療機器サプライ チェーンのその他の関係者が、リリースされた機器のサイバー脆弱性の重大性と影響について議論する際に、共通の参照フレームワークが提供されます。このツールを一貫して使用することで、すべての関係者が医療機器のサイバーセキュリティの市販前および市販後の管理に関する FDA のガイダンスに準拠できるようになります。

便利なリンク:

どのようにすることができます NAMSA ヘルプ?
お客様のソフトウェア製品が FDA の医療機器の定義を満たしている場合、NAMSA のソフトウェア専門家がお客様のチームと連携して、サイバーセキュリティやその他の懸念事項に関連するリスクを軽減します。

NAMSA は、FDAとの効果的なやり取りを通じて規制上の成果を成功に導く業界のリーダーです。実際、医療機器開発の専門家で構成される当社の社内チームは、ほぼ毎日FDAと連絡を取り合っています。提出前のミーティングからIDE準備、FDA査察準備まで、当社のチームは、機器メーカーの規制提出と承認を迅速化する業界で最も経験豊富です。この専門知識は、 保存 医療機器組織最大 コストは17万ドル、開発期間は23か月.

FDA関連の活動やその他の世界的な規制戦略についてご相談をご希望の場合は、 お問い合わせ.

印刷フレンドリー、PDF&電子メール
レズリー・ハインズ

レズリー・ハインズ

Lezlie Hynes、MT (ASCP)、CQA、CSQE は現在、NAMSA の主席品質システム コンサルタントを務めています。Lezlie は、医療機器、HCT/P、病院、リファレンス ラボの分野で、主に品質システムにおいて 30 年以上の経験があります。彼女は、小規模なスタートアップから大企業まで、さまざまなクライアントと協力して、品質システムを開発および維持し、製品を市場に投入することに重点を置いています。特に、クライアントと協力してコンピューター システムを実装および検証し、SaMD および SiMD 製品の開発を支援することに重点を置いています。

あなたのプロジェクトについて話しましょう

質問したり、面談をリクエストしたりしてください NAMSA 専門家にご相談いただければ、お客様の特定のプロジェクトについてご相談させていただきます。できるだけ早く対応させていただきます。また、NAMSA についてどのようにお知りになったのかをお聞かせください。

    NAMSAに連絡するために情報を送信することを選択すると、 NAMSA あなたの情報を処理および保存することに同意する NAMSA ネットワーク。いつでも、提供した情報の使用に関する同意を取り消すリクエストを提出できます。詳細については、 プライバシーポリシー.