キャリアIR 情報プレスルーム
  1. ホーム
  2. サポート情報
  3. サイバーセキュリティ
サイバーセキュリティ-医療機関をサイバー脅威から守る

サイバーセキュリティ医療機関をサイバー脅威から守る

Siemens Healthineers のサイバーセキュリティ

サイバーセキュリティへの取り組み

デジタルトランスフォーメーションは本格化しており、サイバーセキュリティはご施設の参加への道を開きます。 私たちはどのような課題や脅威に直面しても、お客様が順調に進めるよう支援することに全力を注いでいます。私たちは常にシステムとプロセスを改善し、サイバーセキュリティ問題についてチームをトレーニングすることで、サイバー脅威に対する高い意識を持ち続けています。

System Certification ISO 27001

信頼と認証

Siemens Healthineers は、ISO/IEC 27701:2019 によって延長されたISO/IEC 27001:2013 に基づく独立認証を取得しました。これは、当社の持続可能な事業と会社のすべての主要な利害関係者、特に顧客のためにデータプライバシーとサイバーセキュリティを保護するというシーメンスの取り組みを示しています。お客様の業務や患者様の治療過程におけるパートナーとして、Siemens healthineers を信頼していただける正当な理由を提供したいと考えています。

Siemens Healthineers のグローバルサイバーセキュリティ管理システムには、会社の情報セキュリティとプライバシー情報管理が含まれています。ドイツ本社所在地のサイバーセキュリティ、データ保護、ITセキュリティ、IT運用に関する中央グループによるガバナンスと保証をカバーしています。クリックしてISO/IEC 27001:2013 およびISO/IEC 27701:2019 認証書をダウンロードしてください。これは静的なダウンロードであり、できるだけ早くSGSがホストするオンラインバージョンに戻されることにご注意ください。

製品ライフサイクル全体にわたるサイバーセキュリティ

サイバーセキュリティへの備えは、Siemens Healthineersの企業文化の一部です。私たちは開発と設計から始め、導入をサポートし、お客様がサポート期間中、安全な運用を維持できるよう支援します。

製品ライフサイクル全体にわたるサイバーセキュリティ

製品セキュリティ

当社の製品はサイバーセキュリティを念頭に置いて設計されており、常時、安全なネットワーク統合と運用をサポートします。

安全な開発ライフサイクル

安全な開発ライフサイクル

Siemens Healthineers のサイバーセキュリティへの取り組みの中心であるセキュア開発ライフサイクル(SDL)により、当社の新設計製品*は今日求められる運用要件に対応しています。

データ暗号化
データ暗号化:最先端のデータ暗号化機能により、保存中および転送中のデータを保護します

ビルトインセキュリティコントロール

現在開発中の全製品と既存の各種製品には、最新のIT環境に不可欠なセキュリティ制御が組み込まれています。

  • 安全な構成と強化
  • 認証と承認
  • ホワイトリスティング
  • データ暗号化
  • 信頼済マシン証明書
  • 監査とロギング
透明性

透明性

必要な情報を事前に提供しておりますので、導入後に予期せぬ事態が発生することはありません。 次の情報については teamplay Fleetにて公開をおこなっております。

  • 使用可能なすべての製品のセキュリティ機能を説明するホワイトペーパー
  • SBOM (ソフトウェア部品表)
  • 一般的なサイバーセキュリティガイダンス
  • 安全な環境構成に関する推奨事項
  • 製造販売業者による医療機器セキュリティ開示書 (MDS2)
デプロイ

導入展開(デプロイ)

導入展開時には、お客様の施設のネットワークとセキュリティ要件に応じて、インストールの検証とセキュリティ制御の設定を行います。

サイバーセキュリティ管理サービス

新しい脆弱性は継続的に発見されるため、機器を最新の状態に保つためには監視、更新、アップグレードが必要です。 Siemens Healthineersはご使用いただいている当社機器の推奨セキュリティレベルの維持に役立つ一連のサービスを提供しています。

サイバーセキュリティ管理サービス-脆弱性の監視と評価

脆弱性の監視と評価

米国食品医薬品局(FDA)の市販後のガイダンスと業界のベストプラクティスに従い、サポート期間において継続的な監視を行い、既知の脆弱性が機器やソリューションの悪用に使用される可能性があるかどうかを評価しています。また、当社の機器やソリューションに関連して報告されたセキュリティの脆弱性を処理し、開示するための正式なプロセスも整っています。

セキュリティステータスの透明な概要
サイバーセキュリティを含む効率的かつ簡単な機器メンテナンスを提供するオンラインポータル、Teamplay Fleetにより、お客様が脅威から身を守れるよう、できる限り便利にサポートを提供します。

  • teamplay Fleet サイバーセキュリティプロファイルは、フリートのセキュリティステータスに関する情報を提供します
  • Siemens Healthineers の医療機器と医療ITソリューションに関するサポートを1つのインターフェイスで提供
  • 最新の脆弱性通知に関する高い透明性
  • セキュリティアドバイザリーと緩和策へのアクセス
サイバーセキュリティアップデート

サイバーセキュリティアップデート

サポート期間においてSiemens Healthineers の機器には随時パッチが提供され、該当する場合には、必要に応じて追加のホットフィックスをリリースします。
これにより、進化する脅威の状況に遅れずについていき、保護された状態を保つことができます。

  • すべてのパッチは、医療上の安全と継続的な装置使用のため、リリース前に検証されています
  • システムを VPN で暗号化されたスマートリモートサービス(SRS) に接続すると、パッチが自動的に転送され、ワンクリックでインストールできるようになります
  • また、特にSRS 経由でアクセスできない機器の場合は、「teamplay Fleet Anytime Software Update」を通じて、都合の良いときにアップデートのインストールをスケジュールすることもできます
最先端のシステムソフトウェア

システムソフトウェア

医療機器は、予定されている交換の前に古くなる可能性があります。
アドバンス・プランでは、Siemens Healthineers の機器をご契約期間中、常に最新の状態を保つことができます。規制や財務上のニーズに合わせて、さまざまなサービスレベルからお選びいただけます。まだアドバンスプランの対象になっていない製品については、他のサービス契約を提供しています。

詳細についてはカスタマーサービスのウェブサイトをご覧ください

有能なインシデント管理

ITセキュリティの分野で30年以上の経験を持つ私たちは、サイバー攻撃に対応する準備が整っています。機器の完全性侵害に対する当社の対応は迅速で、潜在的な損害を最小限に抑えるように設計されています。

  • 技術的評価を行い、侵害の封じ込めを優先し、関連情報を効果的かつ透明性のある方法で共有します
  • フォレンジック分析によるサポートを提供し、将来のサイバー攻撃のリスクを最小限に抑えます
  • 機器をフル稼働状態に戻すためのサポートを提供します
今すぐサポートが必要ですか?

データプライバシー

データプライバシー

お客様のデータのプライバシーを保護することは当社にとって非常に重要です。お客様が米国のHIPAA やヨーロッパのGDPR などの法律を遵守できるように、当社は「プライバシー・バイ・デザインおよびバイ・デフォルト」という基本原則に基づいてプロセスを調整しました。これは、設計や計画の初期段階から個人データを処理する製品、ソリューション、サービスにデータ保護が組み込まれているということです。

リモートサービス
スマートリモートサービス(SRS)は、患者データの機密性と完全性を高いレベルで維持すると同時に、データの可用性を維持できるように設計されています。
ISO 27001の認証を受けたSRSは、高度な認証および承認手続き、暗号化技術とロギングルーチン、および厳格に実施された組織的対策を採用しています。
これらの安全対策により、患者データを保護し、必要に応じてアクセスを制限することができます。

認定リモートサービス

クラウドセキュリティ

teamplay(欧州プライバシーシール "EuroPrise" を受賞)、AI-Rad Companion、デジタルエコシステムなどのクラウドベースのソリューションは、Microsoft Azure クラウドプラットフォームによって保護され、侵害や悪意のある攻撃に対する保護機能を提供します。サイトからの転送中やクラウドインフラストラクチャでの保存中を含め、すべての情報は暗号化されます。また、当社のソリューションでは、スタッフの役割に基づいてウェブの使用とデータアクセスを制限し、機密情報を厳重に管理できます。

出版物

Siemens Healthineers 製品に関連する検証済みのセキュリティ脆弱性について通知するために、セキュリティ勧告と速報を継続的に公開しています。緩和策には、更新の適用、アップグレードの実行、またはその他のユーザーによるアクションが含まれる場合があります。 詳細については、Siemens healthineers teamplay Fleet Customer Online Portal をご覧ください。

LockBit Ransomware
Siemens Healthineers のVarian 事業セグメントに関連しているとされるデータが、8月15日、17日、19日にランサムウェアグループのLockBit のウェブサイトで公開され、短期間公開されました。Varian の企業システムやプロセスが侵害されたという証拠も、そこからデータが抽出されたという証拠もありません。調査の結果、公開されたデータは単一の顧客サイトに関連していることが判明しました。この事件の調査は正式に終了しました。

お客様とその患者のセキュリティとプライバシーは当社にとって最も重要であり、サイバーセキュリティとデータプライバシーの向上に継続的に取り組んでいます。 

Web Vulnerability in syngo Dynamics before VA40G HF01
セキュリティアドバイザリーの全文は、Siemens healthineers セキュリティアドバイザリー(英語)またはSiemens Healthineers teamplay Fleet Customer Online Portal でご覧いただけます。

Deserialization Vulnerability in Healthcare Products
セキュリティアドバイザリーの全文は、Siemens Healthineers セキュリティアドバイザリー(英語) またはSiemens Healthineers teamplay Fleet Customer Online Portal でご覧いただけます。

Java library Log4j vulnerability(CVE-2021-44228)
Siemens Healthineers は、Java ライブラリ Log4j にある CVE-2021-44228 として特定されたゼロデイリモートコード実行(RCE)の脆弱性を認識しています。当社のサイバーセキュリティ専門家は、当社製品への潜在的な影響を引き続き分析し、対処しています。セキュリティ暫定勧告が発行されました。こちら(英語)をご覧ください。

DICOM/BMP File Parsing Vulnerabilities in syngo fastView

セキュリティアドバイザリの全文は、Siemens Healthineers セキュリティアドバイザリー(英語)またはSiemens Healthineers teamplay Fleet Customer Online Portal でご覧いただけます。

Nucleus TCP/IP stack
セキュリティアドバイザリーの全文は、Siemens Healthineers のteamplay Fleet Customer Online Portal でご覧いただけます。

PrintNightmare vulnerability(CVE-2021-34527)
Siemens Healthineers は、2021年7月1日にマイクロソフトが開示したPrintNightMare というWindowsプリントスプーラーのリモートコード実行の脆弱性 (CVE-2021-34527) を認識しています。当社の専門家は、影響を受けるSiemens healthineers 製品があるかどうかを判断するために報告を調査しています。この声明は、さらなる情報が必要になり次第更新され、それに応じてSiemens Healthineers のteamplay Fleet Customer Online Portal を通じてお客様に通知します。

BadAlloc vulnerability in the QNX Real-Time Operating System
Siemens Healthineers は、QNX リアルタイムオペレーティングシステムの BadAlloc と呼ばれる脆弱性を認識しています。当社のサイバーセキュリティ専門家は調査を続けてきましたが、これまでのところ、Siemens Healthineers 製品が危険にさらされているという兆候は見つかっていません。当社は、問題の進展を継続的に監視し、必要に応じてSiemens Healthineers のteamplay Fleet Customer Online Portal を通じてお客様に通知します。

SolarWinds Orion Platform Vulnerabilities
Siemens Healthineers は、2020年12月に公表されたSolarWinds Orionプラットフォームに脆弱性をもたらしたサプライチェーン攻撃を認識しています。当社のセキュリティ専門家による調査では、このソフトウェアの脆弱性の影響を受けるSiemens Healthineers 製品は確認されていません。当社は、問題の進展を継続的に監視し、必要に応じて、Siemens Healthineers teamplay Fleet Customer Online Portal を通じてお客様に追加情報を提供します。

Remote code execution vulnerability on syngo.via (CVE-2019-18935)
 セキュリティアドバイザリの全文は、Siemens healthineers セキュリティアドバイザリ(英語)またはSiemens healthineers teamplay Fleet Customer Online Portal でご覧いただけます。

CISA advisory ICSA-20-343-01
Siemens Healthineers は、CVE-2020-13984 と CVE-2020-25112 の間の 33 件の CVE を概説した CISA 勧告 ICSA-20-343-01 に関する報告を認識しています。Siemens Healthineers の専門家が状況を調査しています。必要に応じて、Siemens Healthineers teamplay Fleet Customer Online Portal を通じて、お客様に追加情報を提供します。

DCA Vantage Analyzer (vulnerabilities CVE-2020-7590 and CVE-2020-15797)
Siemens Healthineers は、DCA バンテージアナライザーの 2 つの脆弱性、CVE-2020-7590 と CVE-2020-15797 を認識しています。ソフトウェアバージョン 4.5 がお客様に提供され、両方を修正できるようになりました。セキュリティアドバイザリの全文は、Siemens Healthineers セキュリティアドバイザリー(英語)またはSiemens healthineers teamplay Fleet Customer Online Portal でご覧いただけます。

24.06.2020: Ripple20 - Treck TCP/IP stack vulnerabilities
Siemens Healthineers は、2020年6月16日にTreckによって開示されたRipple20 というTCP/IP スタックの脆弱性を認識しています。当社の専門家は、Siemens Healthineers 製品が影響を受けるかどうかを判断するために報告を調査しています。
この声明は、詳細がわかり次第更新され、お客様にはSiemens Healthineers teamplay Fleet Customer Online Portal で通知します。

25.02.2020: SweynTooth - vulnerabilities in Bluetooth Low Energy (BLE)
Siemens Healthineers は、総称してSweynTooth として知られるBluetooth Low Energy (BLE) の脆弱性を認識しています。セキュリティ専門家による調査では、これらの脆弱性の影響を受ける製品は特定されていません。問題の進展については引き続き監視し、Siemens Healthineers teamplay Fleet Customer Online Portal を通じてお客様に通知します。

協調的脆弱性開示

Siemens Healthineers は、サービス契約や製品ライフサイクルの状態に関係なく、すべての人に脆弱性を報告するよう奨励しています。研究者、業界団体、CERT、パートナー、その他の情報源からの脆弱性報告を歓迎します。Siemens Healthineers は、報告者の利益(要請があれば匿名での報告も可)を尊重し、Siemens Healthineers の製品またはコンポーネントに関連すると合理的に考えられるあらゆる脆弱性に対処することに同意します。Siemens Healthineers は、ただちに公開すると「ゼロデイ状況」が発生し、お客様のシステムやお客様の病院が不必要なリスクにさらされるため、報告当事者に協調的な情報開示を行うよう要請しています。

報告プロセス
Siemens Healthineers は現在、シーメンスAG の協調的脆弱性開示プロセスに従っています。このプロセスは、以下のいずれかのメールアドレスにメールを送信することから始まります。

プロセスの詳細についてシーメンスの脆弱性処理および開示のウェブサイトをご覧ください

サイバーセキュリティインシデントの報告
Siemens Healthineers のインフラストラクチャまたは当社製品に影響を及ぼすサイバーセキュリティインシデントが発生した場合は、ここで報告してください。なお、インシデントの報告は、標準的なカスタマーサポート窓口(CCCなど)を通じて行ってください。標準的なカスタマー・サポート・プロセスをご利用いただくことで、迅速かつ的確なサポートが保証されます。 

1

「集中治療を必要とする医療におけるデータセキュリティ」、セキュリティスコアカード、2019年10月1日アクセス

https://securityscorecard.com/resources/data-security-in-healthcare-needs-intensive-care

2

チャンドゥ・ゴパラクリシュナン、「医療機関はデータ漏えいのコストでリードしている」、SCメディアUK、2019年9月23日発行、2019年10月1日アクセス

https://www.scmagazineuk.com/healthcare-leads-cost-data-breaches/article/1660364

3

「2019 年 7 月の医療データ漏えいレポート」、HIPAA ジャーナル、2019 年 8 月 26 日発行、2019 年 10 月 1 日アクセス

https://www.hipaajournal.com/july-2019-healthcare-data-breach-report

*当社では、現行製品のセキュリティ対策の改善と拡張を続けています。 脅威とそれに関連するリスクは進化しているため、このページのすべての記述がすべての製品およびサービスに当てはまるわけではありません。 詳細については、お近くのシーメンス組織にお問い合わせください。