グローバル製品セキュリティポリシー
オリンパス製品セキュリティポリシー
ヘルスケア業界の関係者は、医療機器とそれに含まれるソフトウェアのセキュリティを共同で確保する責任を負っています。オリンパスは、その重要性を理解し、自社製品のセキュリティ強化に常に努めています。このポリシーは、主にオリンパスが開発した当社の製品とサービスにおける製品セキュリティに対するオリンパスのアプローチについて記述しています。 オリンパスの製品へのセキュリティアプローチは、世界的に認識されている標準と法規制に従い、製品のセキュリティを市販前の製品セキュリティ活動と市販後の製品セキュリティ活動の2つのカテゴリに分けて対応しています。オリンパスは、各国および地域の製品セキュリティの法規制に準拠します。
市販前の製品セキュリティの活動
サイバーセキュリティリスクマネージメント
オリンパスは、製品の機密性、完全性、および/または可用性に関するサイバーセキュリティの脅威を積極的に特定、分析、評価、コントロール、および監視するリスクベースのアプローチで対応しています。
セキュア開発およびコーディング
オリンパスは、セキュアソフトウェアシステムの設計と実装に関連する現在のベストプラクティスに従い、セキュア開発とセキュアコーディングの標準を定義し、適用しています。
脅威モデリング
オリンパスは、製品ライフサイクル全体 (TPLC :Total Product Life Cycle) におけるサイバーセキュリティの脅威とその適切な制御メカニズムを特定および評価することを目的として、脅威モデリングを実施し、サイバーセキュリティのリスク管理活動に関する情報提供とサポートを行います。
セキュリティテスト
オリンパスは、製品内の技術的リスク、脅威、脆弱性を特定するために、さまざまな形式のサイバーセキュリティテストを実施しています。これらの結果は、サイバーセキュリティ リスク管理プロセスに統合され、評価および管理をしています。
顧客向けセキュリティ文書
オリンパスは、サイバーセキュリティリスクから製品を継続的に安全かつ効果的に使用できるようにするため、顧客、関連するステークホルダー、規制当局にサイバーセキュリティに関する情報を適切に伝えるためのセキュリティ文書(製品セキュリティホワイトペーパー、SBoM : Software Bill of Materials、MDS2 : Manufacturer Disclosure Statement for Medical Device Securityなど)を作成し、提供します。
市販後の製品セキュリティ活動
教育とトレーニング
オリンパスは、従業員に対して、それぞれの職務や役割に応じたサイバーセキュリティの知識、技術、スキルに関する教育とトレーニングを実施します。
脆弱性監視
- 脅威および脆弱性情報
- オリンパスは、製品に対する新たな脅威、脆弱性、および関連するリスクの特定、評価、報告を、プロアクティブで追跡可能かつ繰り返し可能な方法で実施します。
PSIRT(Product Security Incident Response Team)
オリンパスは、以下の業務をコーディネイトするグローバル PSIRT (製品セキュリティ インシデント対応チーム) を設立しました。
- 情報共有顧客およびその他のステークホルダーに、一貫性があり、最新かつ正確なサイバーセキュリティ情報が提供されるよう積極的に努めます。
- 脆弱性対応のセキュリティパッチマネジメント
脆弱性の管理プロセスを通して、脆弱性の発見から関連リスクの対処および管理を実施します。特定された脆弱性を取り除くことをも目的としたサイバーセキュリティ パッチ、あるいは、悪用されるリスクを最小限に抑え、脆弱性/リスクを受容レベルまで軽減するために必要な情報をタイムリーに提供します。 - インシデント対応
被害を最小限に抑えるためにサイバーセキュリティ インシデントに対処し、業務を回復し、関連する社内関係者に報告します。また、契約上の義務や規制機関の要求に応じてタイムリーな通知と開示を行います。 - 協調的脆弱性情報開示
オリンパス製品に含まれる確認済みの脆弱性(脆弱性の緩和/修正計画を含む)の影響を受ける顧客およびその他の関係者に開示するよう調整します。