Java ライブラリ Log4j の脆弱性(CVE-2021-44228)について
Varian Medical Systems, Inc. は、Java ライブラリLog4j に存在するリモートコード実行の脆弱性(CVE-2021-44228)について認識しています。 Varian のサイバーセキュリティの専門スタッフは、Varian の製品、インフラストラクチャ、サービスに対する潜在的な影響を分析し、対処しています。 Log4J の脆弱性に関する最新情報と、Varian 製品およびサービスへの影響をご確認ください。

サイバーセキュリティへの取り組み

今日では、膨大な量の機密性の高い患者情報とデータが、最新の医療機関ネットワーク内に保管されています。 Varian とお客様の双方にとって、サイバーセキュリティは最優先事項です。 お客様と Varian には、システムの安全性を保つために、堅牢なエンドツーエンドの防御を一緒に維持していく責任があります。

当社の製品とサービスは、その質と患者様の安全に焦点を当てて開発されています。 Varian は、既存製品のセキュリティ対策の改善と拡張を継続的に行っています。 脅威とそれに関連するリスクは常に変化し続けているため、このページの記述内容がすべての製品とサービスに当てはまるわけではありません。 詳細については、Varian の担当者にお問い合わせください。

Varian は、ベンダーや医療機関と協力して真のエンドツーエンドのサイバーセキュリティを推進し、権限を付与されたユーザーのみにアクセスを制限することで、Varian の製品を安全かつセキュアな状態に保てるよう取り組んでいます。 サイバーセキュリティと真剣に向き合い、データセキュリティの侵害を最小限に抑えて患者様を守るために、医療業界およびテクノロジー業界の組織とのパートナーシップを構築しています。

製品セキュリティ

製品セキュリティ

Varian の情報セキュリティ部門には、サイバーセキュリティについて幅広いバックグラウンドを持つ従業員が配置されており、製品開発部門および IT 部門と連携して、製品の企画・設計から運用、そして最終的には生産・販売・保守の終了に至るまでセキュリティを構築しています。 これらのチームは、お客様のサイバーセキュリティの専門スタッフや IT 関係者と協力して、リスクの特定とセキュリティ強化プランの策定を行っています。

セキュア開発ライフサイクル

セキュア開発ライフサイクル(SDL)をサイバーセキュリティ対策の中心に据えているため、Varian の製品は現行の運用要件にすぐに対応できます。

  • 新製品の開発は、常にその時の最新のプロセスに従って行われます
  • 製品開発では、Varian の標準化された要件と業界のベストプラクティスに準拠します
  • 開発プロセスは、Varianの製品ポートフォリオ全体を考慮した要件を満たすように進めます

組み込みのセキュリティ管理機能

現在開発中の製品、および一部の既存製品は、今日の IT 環境に不可欠な組み込みのセキュリティ管理機能を搭載しています。

  • セキュアな構成と強化
  • 認証と権限付与
  • ホワイトリストへの登録
  • データ暗号化
  • 装置の信頼済み証明書
  • 監査とログ記録
セキュリティ

透明性に関する指針

必要な情報は事前に提供されるので、導入後に思いがけない事態が起こることはありません。 以下のドキュメントは、地域の営業担当者にお問い合わせいただくか、または MyVarian から入手できます。

  • 製品のリリース ノート、マニュアル、または(利用可能なすべての製品セキュリティ機能の説明を含む)ホワイトペーパー
  • SBOM(ソフトウェア部品表)
  • 全般的なサイバーセキュリティのガイダンスと確認事項
  • セキュアな環境構築に関する推奨事項
  • 医療機器セキュリティ(MDS2)による製造元開示説明書

脆弱性の監視と評価

Varian は、米国 FDA の市販後ガイダンスおよび業界のベストプラクティスに沿って、既知の脆弱性によって機器やソリューションが悪用される可能性がないかを監視、評価します。 また、Varian の機器とソリューションに関連するセキュリティ脆弱性が報告された場合、その脆弱性への対処方法やお客様への情報開示に関する手順を制定しています。

Varian 製品セキュリティコンピューター緊急対応チーム(CERT)は、Varian の製品、ソリューション、サービスに関連するセキュリティ問題への対処、調査、報告を管理します。 このチームは、ベンダー、セキュリティ研究者、情報共有および分析組織(ISAO)など社外の関係者が潜在的なVarian製品のセキュリティに関する脆弱性を報告するための連絡窓口です。

セキュリティに関する問題の報告

Varian 製品の潜在的なセキュリティ問題を報告する場合は、以下にご連絡ください。 メッセージは PGP キーで暗号化してください。

セキュリティ監視

ソフトウェアの継続的な更新

医療技術は急速に進歩し続けているため、医療機器が耐用年数よりも前に時代遅れのものになってしまう可能性があります。 Varian Service PremierAssurance™ プログラムは、Varian の機器が耐用年数に達するまで、最新かつセキュアな状態に維持されるようサポートします。 本プログラムでは、お客様の運用規制や財務上の要件を満たす、様々なサービスレベルと利用資格を選択することができます。 PremierAssurance プログラムの対象外の製品については、他のサービス契約をご利用いただけます。 詳細については、サービスページをご覧ください。

データプライバシー

お客様のデータのプライバシーを保護することは、Varian にとって非常に重要な課題です。 我々は、製品やソリューションを開発およびリリースする際、「プライバシー・バイ・デザイン(privacy by design)」の設計思想に基づいて、プライバシー保護の原則と実践に従います。 具体的には、Varian の製品やソリューションを使用されるお客様が、プライバシー法(特に米国の HIPAA プライバシー/セキュリティルール、欧州連合および欧州経済地域の GDPR)に従って保護された医療記録やその他の個人データを取り扱えるように、Varian では製品およびソリューションに運用面、物理面、技術面で様々な措置を講じています。

公開

Varian 製品に関する検証済みのセキュリティ脆弱性についてお知らせするために、セキュリティ勧告とセキュリティ情報を継続的に公開しています。 脆弱性の緩和策には、更新プログラムの適用、アップグレードの実行、またはその他のユーザーによる操作が含まれる場合があります。 詳細については、MyVarian をご覧ください。