米国 NIST CSWP 34 遠隔医療とスマートホーム統合におけるサイバーセキュリティ及びプライバシーリスクの緩和

こんにちは、丸山満彦です。

NISTが、CSWP 34 遠隔医療とスマートホーム統合におけるサイバーセキュリティ及びプライバシーリスクの緩和を公表していますね...

これから日本でも在宅ケア、医療等が重要となってくるので、こういう問題は重要となりますよね...先んじてこういう白書をつくれる米国というのは、やはり国力がありますよね...

 

● NIST - ITL

・2025.12.17 NIST CSWP 34 Mitigating Cybersecurity and Privacy Risks in Telehealth Smart Home Integration

NIST CSWP 34 Mitigating Cybersecurity and Privacy Risks in Telehealth Smart Home Integration	NIST CSWP 34 遠隔医療とスマートホーム統合におけるサイバーセキュリティ及びプライバシーリスクの緩和
Abstract	要約
In-patient service demands have increased during a time when patients have experienced reduced access to hospital care. Hospital-at-Home (HaH) solutions are a form of telehealth that provide an in-patient care experience in patients’ homes, offering the potential for improved outcomes. While these are desirable benefits, HaH involves privacy and cybersecurity risks by introducing hospital-grade medical or biometric devices and information systems outside the hospital’s direct control (i.e., the patient’s home). Patient homes increasingly feature Internet of Things (IoT) devices, such as voice assistants (e.g., smart speakers), as part of a broader “smart home” ecosystem. These devices may not have capabilities that support privacy and security practices and may be used as pivot points for attackers to gain access to a hospital’s information system.	入院患者へのサービス需要は、患者が病院ケアへのアクセスを制限された時期に増加した。在宅病院（HaH）ソリューションは、患者の自宅において入院レベルの医療体験を提供する遠隔医療の一形態であり、治療成果の向上が期待される。こうした望ましい利点がある一方で、HaHは病院管理外の環境（すなわち患者の自宅）に病院レベルの医療機器や生体認証デバイス、情報システムを導入するため、プライバシーとサイバーセキュリティのリスクを伴う。患者の自宅では、音声アシスタント（例：スマートスピーカー）などのモノのインターネット（IoT）デバイスが、より広範な「スマートホーム」エコシステムの一部として普及しつつある。これらのデバイスは、プライバシーとセキュリティ対策をサポートする機能を備えていない可能性があり、攻撃者が病院の情報システムにアクセスするための足掛かりとして悪用される恐れがある。
This paper introduces a notional high-level smart home integration reference architecture to better understand these risks. Building on NIST’s prior work in telehealth security, it examines privacy and cybersecurity risks associated with HaH deployments in the context of an integrated smart home environment, focusing on voice assistants (e.g., smart speakers) as a representative IoT device and outlines several sample threat events.	本稿では、こうしたリスクをより深く理解するため、概念的な高レベルのスマートホーム統合参照アーキテクチャを提示する。NISTの遠隔医療セキュリティに関する先行研究を基盤とし、統合されたスマートホーム環境における在宅医療（HaH）展開に伴うプライバシー・サイバーセキュリティリスクを検証する。代表者であるIoTデバイスとして音声アシスタント（例：スマートスピーカー）に焦点を当て、複数の脅威事象の事例を概説する。
To address these risks, this paper leverages the NIST Cybersecurity and Privacy Frameworks and NIST IoT Core Baseline to outline mitigation efforts for healthcare delivery organizations. The recommended mitigations include access control, authentication, continuous monitoring, data security, governance, and network segmentation.	これらのリスクに対処するため、本論文はNISTサイバーセキュリティ・プライバシー枠組み及びNIST IoTコアベースラインを活用し、医療提供組織向けの緩和を提示する。推奨される緩和には、アクセス管理、認証、継続的監視、データセキュリティ、ガバナンス、ネットワークセグメンテーションが含まれる。
These recommended mitigation efforts adopt NIST frameworks and guidelines. For example, it highlights actions healthcare delivery organizations (HDOs) can take to isolate HaH equipment from other personally owned devices within the patient’s home to safeguard sensitive data. Without such protections, compromised, personally owned devices and voice assistants (e.g., smart speakers) may lead to unauthorized access to healthcare systems and patient information.	これらの推奨緩和はNISTの枠組みとガイドラインを採用している。例えば、医療提供組織（HDO）が患者の自宅内でHaH機器を他の個人所有デバイスから隔離し、機密データを保護するための措置を強調する。こうした保護策がなければ、侵害された個人所有デバイスや音声アシスタント（例：スマートスピーカー）が医療システムや患者情報への不正アクセスを招く恐れがある。

 

 

・[PDF] NIST.CSWP.34

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
2. Telehealth Smart Home Integration Ecosystem	2. 遠隔医療スマートホーム統合エコシステム
3. Smart Home Integration Ecosystem Risk Analysis	3. スマートホーム統合エコシステムリスク分析
3.1. Sample Threat Events	3.1. 脅威事象の例
3.2. Recommended Cybersecurity and Privacy Mitigations	3.2. 推奨されるサイバーセキュリティとプライバシーの緩和
3.3. Assess Cybersecurity and Privacy Mitigation Coverage	3.3. サイバーセキュリティとプライバシーの緩和の適用範囲を評価する
4. Security Reference Architecture	4. セキュリティ参照アーキテクチャ
5. Conclusion	5. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A. 記号、略語、頭字語の一覧

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Healthcare Delivery Organizations (HDOs) have begun implementing Hospital-at-Home (HaH) programs for select patients, offering the potential for improved outcomes. HaH represents a form of telehealth in which patients receive in-patient level care, including clinical care and monitoring, within their own residences. To enable this, healthcare systems, often in partnership with external organizations, incorporate communication interfaces, patient monitors, and other medical or biometric devices into the patient’s home. These technologies facilitate clinical care, ongoing engagement, and medical advice while allowing patients to benefit from receiving treatment in a location amenable to the patient.	医療提供組織（HDO）は、特定の患者向けに在宅病院（HaH）プログラムの実施を開始しており、治療成果の向上が期待される。HaHは、患者が自宅において臨床ケアやモニタリングを含む入院レベルのケアを受ける遠隔医療の一形態である。 これを実現するため、医療システムは外部組織と連携し、コミュニケーションインターフェース、患者モニター、その他の医療機器や生体計測機器を患者の自宅に導入する。これらの技術は、患者にとって快適な場所で治療を受ける利点を享受しながら、臨床ケア、継続的な関与、医療アドバイスを可能にする。
HaH combines essential elements of telehealth with hospital-grade medical or biometric devices typically found in in-patient settings. These programs often integrate with commercially available solutions that patients may already use to enhance their lives, for example, Internetof-Things (IoT) devices such as voice assistants (e.g., smart speakers), which are increasingly common in-home environments. This paper focuses primarily on the privacy and cybersecurity risks associated with incorporating such devices, both as unmanaged IoT endpoints and as tools for patient-provider communication and health information retrieval.	HaHは遠隔医療の必須要素と、通常入院環境で見られる病院レベルの医療機器・生体計測機器を組み合わせる。こうしたプログラムは、患者が既に生活向上に利用している市販ソリューションとの連携も行う。例えば音声アシスタント（スマートスピーカーなど）といったIoTデバイスは、家庭環境でますます普及している。 本稿は主に、こうしたデバイスを未管理のIoTエンドポイントとして、また患者とプロバイダ間のコミュニケーションや健康情報取得のツールとして組み込む際に生じるプライバシーとサイバーセキュリティのリスクに焦点を当てる。
Adversaries may exploit patient-owned IoT devices and home network infrastructures as entry points into an HDO’s broader environment. The purpose of this paper is to examine privacy and cybersecurity risks present in IoT devices that exist in the same environment as hospital-grade medical or biometric devices. Both patient-procured IoT devices and hospital-grade medical or biometric devices may have vulnerabilities that cannot be easily addressed. This paper will examine these risks and provide mitigation approaches for HDOs to consider when implementing their HaH programs.	攻撃者は、患者所有のIoTデバイスや家庭内ネットワークインフラを、医療機関の広範な環境への侵入経路として悪用する可能性がある。 本稿の目的は、病院グレードの医療機器や生体認証機器と同じ環境に存在するIoTデバイスに内在するプライバシーとサイバーセキュリティリスクを検証することである。患者が調達したIoTデバイスも、病院グレードの医療機器や生体認証機器も、容易に対処できない脆弱性を有している可能性がある。本稿ではこれらのリスクを検討し、HDOが在宅医療プログラムを実施する際に考慮すべき緩和策を提示する。
To contextualize these risks, this publication introduces a notional high-level smart home integration reference architecture. Building on NIST’s previous work in telehealth security, it examines privacy and cybersecurity concerns associated with HaH deployments in an integrated smart home environment with a focus on voice assistants (e.g., smart speakers) as a representative IoT device.	これらのリスクを具体化するため、本稿では概念的な高レベルスマートホーム統合リファレンスアーキテクチャを紹介する。NISTの遠隔医療セキュリティに関する先行研究を基盤とし、統合型スマートホーム環境における在宅医療展開に関連するプライバシーとサイバーセキュリティ上の懸念を検証する。代表者IoTデバイスとして音声アシスタント（例：スマートスピーカー）に焦点を当てる。
This white paper uses NIST guidelines to frame risks and propose recommended cybersecurity and privacy mitigations. The National Cybersecurity Center of Excellence (NCCoE) healthcare team applies guidelines from the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 (CSF 2.0) [1], the NIST Privacy Framework Version 1.0 (PF 1.0) [2], and NIST Internal Report (NIST IR) 8425 Profile of the IoT Core Baseline for Consumer IoT Products [3] as well as concepts discussed in previous NCCoE practice guides.	本ホワイトペーパーは、NISTガイドラインを用いてリスクを定義し、推奨されるサイバーセキュリティ及びプライバシー対策の緩和策を提案する。国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）医療チームは、国立標準技術研究所（NIST）のガイドラインを適用する。具体的には、NISTサイバーセキュリティフレームワーク2.0（CSF 2.0）[1]、NISTプライバシーフレームワークバージョン1.0（PF 1.0）[2]、及びNIST内部報告書（NIST IR）[3]である。 （NIST）サイバーセキュリティ枠組み2.0（CSF 2.0）[1]、NISTプライバシー枠組みバージョン1.0（PF 1.0）[2]、NIST内部報告書（NIST IR）8425「消費者向けIoT製品のためのIoTコアベースラインプロファイル」[3]、および過去のNCCoE実践ガイドで議論された概念を適用している。
A core theme found in other NCCoE healthcare-related practice guides and NIST guideline documents, for example, calls upon HDOs to ensure network segmentation between medical or biometric devices and other environments. Network segmentation impedes a threat actor’s ability to compromise an endpoint and impact other devices. This paper also highlights the need for access control to limit access to authorized individuals and devices protecting patient data from unauthorized access or alteration. To protect patient data, the organization should implement data security encryption for both data-in-transit and data-at-rest maintaining data confidentiality and integrity. Additionally, this paper highlights the importance of continuous monitoring for identifying unusual traffic patterns for a quicker response in the event of a cyber-attack. Furthermore, HDOs should have an overall cybersecurity risk management strategy implementing rules and procedures for managing and securing data. By implementing the mitigations suggested in this white paper, HDOs can reduce their risk while providing valued services to their patients.	他のNCCoE医療関連実践ガイドやNISTガイドライン文書にも共通する核心的なテーマとして、医療機器や生体認証機器とその他の環境とのネットワーク分離をHDOに求めている。 ネットワークセグメンテーションは、脅威アクターがエンドポイントを侵害し他のデバイスに影響を与える能力を阻害する。本稿ではまた、患者データを不正アクセスや改ざんから防御するため、アクセスを認可された個人やデバイスに限定するアクセス管理の必要性を強調する。患者データを防御するため、組織はデータ機密性と完全性を維持し、転送中データと保存中データの両方に対してデータセキュリティ暗号化を実施すべきである。 さらに本稿は、サイバー攻撃発生時の迅速な対応のため、異常なトラフィックパターンを識別する継続的監視の重要性を強調する。加えて、HDOはデータ管理・保護のための規則と手順を定めた包括的なサイバーセキュリティリスクマネジメント戦略を策定すべきである。本ホワイトペーパーで提案する緩和を実施することで、HDOはリスクを低減しつつ患者に価値あるサービスを提供できる。

 

関連するNIST文書...

NIST Cybersecurity Framework (CSF) 2.0.	NISTサイバーセキュリティ枠組み (CSF) 2.0.
NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management, Version 1.0.	NISTプライバシー枠組み：エンタープライズリスクマネジメントによるプライバシーの向上のためのツール、バージョン1.0。
NIST Special Publication (SP) 800-30 Revision 1, Guide for Conducting Risk Assessments.	NIST SP 800-30改訂版1 リスクアセスメントの実施ガイド
NIST SP 800-161 Revision 1, Update 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations,	NIST SP 800-161 改訂版1、更新版1 システム及び組織のためのサイバーセキュリティ・サプライチェーンリスクマネジメントの実践
Draft NIST Internal Report (NIST IR) 8425A Recommended Cybersecurity Requirements for Consumer-Grade Router Products	NIST 内部報告書（NIST IR）8425A 一般消費者向けルーター製品に対する推奨サイバーセキュリティ要件