製品のセキュリティ

当社製品のセキュリティに対する取り組み

当社は製品の安全性と有効性、セキュリティの確保に取り組んでいます。当社製品および顧客インフラのサイバーセキュリティは、当社の重点的な取り組みにおける不可欠な要素です。

最新のセキュリテイ勧告

「iBedワイヤレス対応セキュアII」、「S3メッドサージ」、「InTouch ICUベッド」に対するKRACK脆弱性対策

詳細

Stryker Voceraレポート サーバーと音声サーバーの脆弱性

詳細

Microsoft Print Spoolerの脆弱性(CVE-2021-34527およびCVE-2021-36958)

詳細

Apache「Log4j」オープンソースロギングライブラリ

詳細
すべての記事を表示する

製品の脆弱性開示に関する報告

セキュリティ研究者は、サイバーセキュリティの脆弱性や懸念を特定する役割を担っており、当社では研究コミュニティとの効果的な提携によりその知見を理解することを目標としています。ストライカーは、最初の「調整された脆弱性開示プロセス」の導入により連携を推進するとともに、下記のような医療機器の脆弱性の報告を促進します。

適用範囲

脆弱性報告プログラムの適用範囲には、医療機器、医療機器としてのソフトウェア、モバイル医療アプリケーションが含まれ、当社製品に関する技術的なサポート情報の提供や、有害事象・製品品質に対するクレームの報告を目的とするものではありません。

有害事象や製品品質に対するクレームについては、stryker.com/productexperienceからご報告ください。

脆弱性の対応方法

当社の医療機器、医療機器としてのソフトウェア、モバイル医療アプリケーションに潜在的なセキュリティの脆弱性を特定した場合は、脆弱性の報告に関するフォームを記入し、ストライカーの製品セキュリティチーム(ProductSecurity@stryker.com)に送信してください。

 
重要なお知らせ:
 

当社が、脆弱性の報告プロセスを通じて報告書を送信し、当社と法的合意を結んだ個人に対する法的措置に関与することはありません。 当社は、下記を行う個人と提携することに同意します。    

  • ストライカーまたは当社の顧客に危害を与えることなくシステムの試験/研究に従事する。    
  • 顧客に影響を与えることなく製品の試験を実施する、機器/ソフトウェア等の脆弱性試験を行う前に顧客から許可/同意を得ている。  
  • ストライカーと個人が同意した諸条件に従って脆弱性開示プログラムの適用範囲内で脆弱性試験を行う。
  • 当該個人およびストライカーの所在地の法律を順守する。 たとえば、(刑事訴訟ではなく)ストライカーによる賠償請求のみが生じる法律違反は、ストライカーが自社システムの改善を目的に当該行為(リバースエンジニアリングや防御措置の迂回)を許可しているため許容されることがある。
  • 相互に合意した期間が終了するまで脆弱性に関する詳細を開示しない。

 

選好、優先順位、判定基準
報告書の選別・優先順位付けには下記の基準を使用します。   

報告書を送信する際には、下記の条件をご確認ください。

  • 報告書が英語で作成されている。  
  • 報告書に概念実証コードを含んでいる(対応に優先順位を付けるうえで有用です)。   
  • 脆弱性の検出方法、潜在的な修正。   
  • 一般に公開する予定または意図の有無。   

注: クラッシュダンプやその他の自動ツールの出力のみを含む報告書は優先順位が低くなります。

 

報告に対し当社は下記の対応を図ります。   

  • メール受信から5営業日以内に適宜に対処。
  • 潜在的な結果を該当の製品チームに報告し、検証・再現を実施(この段階で追加情報の提供を求める連絡が入ることがあります)。  
  • 報告書の調査後、脆弱性および潜在的な影響の有無を確認。  特定された脆弱性が患者の安全に影響を及ぼすと判断された場合は、即座に解決策を策定し、適切な措置を講じる。 関連リスクに基づいてその他すべての脆弱性を評価し、対処。
  • 問題についてオープンなディスカッションを行う。   
  • 脆弱性分析の各段階終了時に通知を送信。   
  • 脆弱性の検証・解決後にクレジットを付与(必要に応じて)。   
  • 修正の期限および関連する可能性がある問題・課題について可能な限りの透明性を確保。  
  • コミュニケーションやその他に関する問題を解決できない場合は、脆弱性の最適な対処法を特定するために中立的なサードパーティ(CERT/CC、ICS-CERT、関連する規制機関等)を採用することがある。   

上記プロセスのあらゆる側面は予告なしに変更されたり、個別的に例外となることがあります。 また、特定のレベルの対応が保証されるわけではありません。

 

通知

ストライカーと情報を共有することを決定した場合、提供していただく情報は非専売・非機密とみなされ、ストライカーがその情報の全体または一部を一切の制限を受けることなくどんな方法にも使用できることに同意することになります。 また、情報の送信によってご自身に対する権利やストライカーに対する義務が生じるわけではないことに同意します。

We will use the following criteria to prioritize and triage submissions.   

 
選好、優先順位、判定基準
報告書の選別・優先順位付けには下記の基準を使用します。   

医療機器セキュリティのための製造者開示説明書

製品セキュリティおよび顧客サービスの向上を目指す取り組みの一環として、当社では脆弱性やリスクの評価・対処に役立つ情報を顧客に提供しています。

具体的には、「医療機器セキュリティのための製造者開示説明書」(MDS²)を使用して当社製品に関するセキュリティ情報を提供しています。

MDS²には、下記のような機器の機能に関する特定のセキュリティ情報が含まれます。    

  • ePHIの維持、保管、送信 
  • データのバックアップおよび取り外し可能なメディアの機能
  • セキュリティパッチおよびアンチウイルスソフトウェアのインストール
  • リモートサービスのアクセス
  • 記録の確認、作成、修正、削除、インポート/エクスポートを含むePHIアクセスの監査ログ

モデルに固有の情報を顧客に提供できる汎用的な報告フォームであるMDS²は、アメリカ臨床工学会(ACCE)、ECRI(旧・緊急医療研究会)、アメリカ電機工業会(NEMA)、米国医療情報・管理システム学会(HIMSS)によって承認されています。

このフォームには製造メーカーによるセキュリティ推奨慣行や注釈も含まれます。