NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減

こんにちは、丸山満彦です。

NISTが「白書(案) 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減』が公表され、意見募集がされていますね。

● NIST- ITL

・2021.08.31 White Paper (Draft) [Project Description] Mitigating Cybersecurity Risk in Telehealth Smart Home Integration: Cybersecurity for the Healthcare Sector

White Paper (Draft) [Project Description] Mitigating Cybersecurity Risk in Telehealth Smart Home Integration: Cybersecurity for the Healthcare Sector	白書(案） [プロジェクト内容】遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減。ヘルスケア分野におけるサイバーセキュリティ
Announcement	発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released a new draft project description for Mitigating Cybersecurity Risk in Telehealth Smart Home Integration. The publication of this project description begins a process to further identify project requirements, scope, and hardware and software components for use in a laboratory environment.	米国国立サイバーセキュリティセンターオブエクセレンス（NCCoE）は、「Mitigating Cybersecurity Risk in Telehealth Smart Home Integration（遠隔医療・スマートホームの統合におけるサイバーセキュリティリスクの軽減）」の新しいプロジェクト記述のドラフトを発表しました。このプロジェクト説明書の公開により、実験室環境で使用するプロジェクトの要件、範囲、ハードウェアおよびソフトウェアコンポーネントをさらに特定するプロセスが開始されます。
What is this Project About?	このプロジェクトの目的は？
Telehealth technology and its use has advanced alongside the "Internet of Things (IoT)". Healthcare solutions may allow patients to use consumer-grade IoT devices to review their health information and interact with systems operated by a healthcare delivery organization (HDO). Individuals may use IoT devices to obtain lab results, schedule visitations with their care team, set reminders for appointments, or request prescription refills, for example.	遠隔医療テクノロジーとその利用は、「IoT」とともに進んでいます。ヘルスケアソリューションでは、患者が消費者向けのIoTデバイスを使用して自分の健康情報を確認したり、医療提供組織（HDO）が運営するシステムと対話したりすることができます。患者は、IoTデバイスを使用して、検査結果の取得、ケアチームとの面会の予約、予約のリマインダーの設定、処方箋のリフィルの要求などを行うことができます。
IoT brings novel capabilities to consumers in their homes. However, with those capabilities, IoT compels technology adopters to re-think how they may need to secure their home environment and the networks with which their homes interconnect. This project will result in a practice guide that describes a reference architecture for smart home integration with healthcare systems as part of a telehealth program.	IoTは、家庭内の消費者に新しい機能をもたらします。しかし、このような機能を持つIoTは、家庭環境や家庭内のネットワークを保護するための方法を再考することを、テクノロジー導入者に求めています。このプロジェクトでは、遠隔医療プログラムの一環として、スマートホームと医療システムを統合するためのリファレンス・アーキテクチャを説明する実践ガイドを作成します。
.....	....
Abstract	概要
This project's goal is to provide HDOs with practical solutions for securing an ecosystem that incorporates consumer-owned smart home devices into an HDO-managed telehealth solution. This project will result in a freely available NIST Cybersecurity Practice Guide.	このプロジェクトの目的は、消費者が所有するスマートホーム機器をHDOが管理する遠隔医療ソリューションに組み込むエコシステムを確保するための実用的なソリューションをHDOに提供することです。このプロジェクトは、自由に利用できるNIST Cybersecurity Practice Guideを作成する予定です。
While the healthcare landscape began telehealth adoption that parallels technology advancement over recent years, 2020 acted as a catalyst for healthcare delivery organizations expanding patient interaction and monitoring. Telehealth advances coincide with a proliferation of IoT devices, including smart home speakers. This project will analyze how consumers use smart home devices as an interface into the telehealth ecosystem. Smart home devices offer enhanced, multi-sensory user experiences that allow individuals to converse with technology naturally. While the user experience may be improved, practitioners may find challenges associated with deploying mitigating controls that limit cybersecurity and privacy risk given that devices may use proprietary or purpose-built operating systems that do not allow engineers to add protective software. Practices and guidance are available for safeguarding computer systems. However, smart home devices use voice command and response, which differ from text- or graphic-based user interfaces. For example, common security approaches based on computer systems that depend on an individual's ability to provide usernames and passwords may not be applicable.	医療の現場では、近年のテクノロジーの進歩と並行して遠隔医療の導入が始まっていますが、2020年は、医療提供機関が患者との対話やモニタリングを拡大するきっかけとなりました。遠隔医療の進歩は、スマートホームスピーカーなどのIoTデバイスの普及と一致しています。本プロジェクトでは、消費者がスマートホーム機器を遠隔医療・エコシステムのインターフェースとしてどのように利用しているかを分析します。スマートホームデバイスは、個人が自然にテクノロジーと会話できるように、強化された多感覚のユーザー体験を提供します。ユーザー体験が改善される一方で、機器には、エンジニアが保護ソフトウェアを追加することができない独自のオペレーティングシステムや専用のオペレーティングシステムが使用されている可能性があるため、サイバーセキュリティとプライバシーのリスクを制限する緩和策の導入には課題があると実務者は考えるでしょう。コンピュータシステムを保護するためのプラクティスやガイダンスがあります。しかし、スマートホーム機器は、音声によるコマンドやレスポンスを使用しており、テキストやグラフィックベースのユーザーインターフェースとは異なります。例えば、ユーザー名とパスワードを提供する個人の能力に依存するコンピュータ・システムに基づく一般的なセキュリティ・アプローチは適用できない可能性があります。
The project team will apply the NIST Cybersecurity Framework, NIST Privacy Framework, and the NIST Risk Management Framework to identify threats and risks to the smart home integrated telehealth ecosystem. The project will focus on three common scenarios that involve using smart home devices interacting with clinical systems in a laboratory environment. The project team will develop a reference design and a detailed description of the practical steps needed to implement a secure solution based on standards and best practices.	このプロジェクトチームは、NISTサイバーセキュリティフレームワーク、NISTプライバシーフレームワーク、NISTリスクマネジメントフレームワークを適用して、スマートホームと統合された遠隔医療のエコシステムに対する脅威とリスクを特定します。このプロジェクトでは、実験室環境で臨床システムと相互作用するスマートホーム機器の使用を含む3つの一般的なシナリオに焦点を当てます。プロジェクトチームは、標準規格とベストプラクティスに基づいた安全なソリューションを実装するために必要な、リファレンスデザインと実用的なステップの詳細な説明を作成します。

 

Publication:
・[PDF]  Draft Project Description

 

Supplemental Material:
・[web]  Submit comments
・[web]  Project homepage

　

1 Executive Summary	1 エグゼクティブサマリー
Purpose	目的
Scope	範囲
Assumptions/Challenges	前提条件／課題
Background	背景
2 Scenarios	2 シナリオ
Scenario 1: Patient Visitation Scheduling	シナリオ1：患者の訪問スケジュール管理
Scenario 2: Patient Prescription Refill	シナリオ2：患者の処方箋のリフィル
Scenario 3: Patient Regimen Check-In	シナリオ3：患者のレジメン・チェックイン
3 High-Level Architecture	3 ハイレベル・アーキテクチャ
Component List	コンポーネント一覧
Components for Patient Home Environment	患者自宅環境のコンポーネント
Cloud Service Provider Environment	クラウドサービスプロバイダー環境
Healthcare Technology Integration Solution	医療技術統合ソリューション
Components for HDO Environment	HDO環境のコンポーネント
Telehealth Ecosystem Actors	遠隔医療エコシステムの登場者
Desired Requirements	望ましい要件
4 Relevant Standards and Guidance	4 関連する基準とガイダンス
General Cybersecurity and Risk Management	一般的なサイバーセキュリティとリスク管理
Cybersecurity/Technology-Related Standards	サイバーセキュリティ／技術関連の基準
Other Relevant Regulations, Standards, and Guidance (Healthcare/Medical Devices)	その他の関連する規制、基準、ガイダンス（ヘルスケア／医療機器
5 Security Control Map	5 セキュリティコントロールマップ
Appendix A References	附属書A 参考文献
Appendix B Acronyms and Abbreviations	附属書B 頭字語と略語