医療機器やIVD機器のIEC 81001-5-1に基づく、サイバーセキュリティ対応についてのお問い合わせを多くいただきます。特に侵入試験についてのお問合せが多いため、本ブログで、規格の中で求められる独立性レベルについてご紹介します。
IEC 81001-5-1:2021(JIS T 81001-5-1:2023)では、試験の種類ごとの独立性レベルを規定しています。
- セキュリティ要求事項試験、脅威軽減試験においては、独立性レベル「独立した部門」
- 脆弱性試験、攻撃対象領域解析、既知の脆弱性スキャンにおいては、独立性レベル「独立した人」
- 侵入試験においては、「独立した部門または組織」
- 静的コード解析およびソフトウェアコンポジション解析においては、規定なし
セキュリティ試験実施方法
JIS T 810015:2023で記載されているように、製造業者は以下の2つの方法でセキュリティ試験を行うことができます。
1. 内部の独立した試験チームを組織する
会社の中で、開発チームとは別にセキュリティ試験を専門に行うチームを作ることができます。
2. 外部(サードパーティー)のセキュリティ試験機関を利用する
会社の外部にある専門のセキュリティ試験機関にセキュリティ試験を依頼することができます。
ただし、客観的かつ公正な試験実施のために、セキュリティ試験は、セキュリティ機能を設計したり実装したりした設計・開発担当者とは別の人物であることが望ましいとされています。
自社でのサイバーセキュリティ試験の実施を検討されている方は、独立性レベルに対応できる人員・組織でのサイバーセキュリティ試験実施可否について確認いただくことをお勧めします。
特に侵入試験に関しては、第三者での評価が望ましいということがご理解いただけます。
サイバーセキュリティ対策のための信頼あるパートナー選び
テュフ ラインランドは2005年よりサイバーセキュリティ試験サービスを展開しており、現在はサイバーセキュリティ業務に携わるエンジニアが多数在籍しています。その力量は第三者に認められたもので、特にアジア圏では、サイバーセキュリティ関連サービスプロバイダーのリーダーとして、高く評価されています。
高い専門性と知識が求められる医療機器のセキュリティ要求に関しても、弊社の経験豊富なエンジニアが脅威分析の妥当性を確認し、各国の規制に対応したテストプランを作成します。
お客様の製品をよりセキュアにするために、ぜひ、サイバーセキュリティテストは豊富な知識と経験を持つテュフ ラインランドにお任せください。
詳しくはこちらをご覧いただくか、以下よりお問い合わせください。
関連情報
テュフ ラインランドでは、EU規制や各国の要求事項に対応した評価・認証サービスを提供します。
グローバルに認知されたテュフ ラインランドのサービスを活用いただくことで、貴社製品の品質と安全性に対する信頼性の向上確保することが可能です。
ぜひお問い合わせください。
公式ブログ|リバーフィールド SaroaサージカルシステムにIEC 81001-5-1の適合性評価レポートを発行
公式ブログ|医療機器のサイバーセキュリティ対策 ~IEC 81001-5-1対応で考慮すべき点~
ウェブサイト | 欧州医療機器規則 (MDR)2017/745
ウェブサイト | IVDR 体外診断用医療機器規則
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 11/13/2024