hero-mobile-v3

セキュリティは、私たちの活動の中核をなすものです。
hero-mobile-v3

製品のセキュリティは単なる機能ではなく、当社のソリューションを保護する上で重要な要素です。
X

製品のセキュリティ | Stryker

製品のセキュリティ

ストライカーでは、製品のセキュリティと安全性がいかに重要であるかを熟知しているため、これらに細心の注意を払っています。 専任の製品セキュリティチームは、強力なセキュリティ対策を実装するために精力的に取り組んでおり、業界のパートナーと協力してセキュリティ対策を継続的に改善しています。 当社は、新たな脅威に先手を打ち、適切な措置を講じて脆弱性に対処するために、セキュリティに関して積極的なアプローチを採用しています。 お客様からの信頼を最優先に考え、お客様にご利用いただく製品とデータの保護に尽力しています。

製品サポート情報

エンタープライズサイバーセキュリティ

  

当社のコミットメント

当社では、潜在的な脆弱性を特定して軽減するため、製品のライフサイクル全体にわたって徹底したセキュリティ評価を実施しています。 セキュリティは、設計から導入まで、製品開発プロセスのあらゆる段階に組み込まれ、当社のあらゆる活動における基本要素となっています。

 

 

当社の取り組み

  

発想のアイコン

機器の設計と開発

  • 新しい医療機器の設計・開発段階では、脅威モデリング、リスク評価、製品アーキテクチャへのセキュリティ管理機能の組み込みなどのセキュリティ対策を実装しています。
  • エンジニアリング、サイバーセキュリティ、プライバシー、規制の各チーム間で連携して総合的なアプローチを共有し、製品イノベーションにおけるセキュリティのベストプラクティスを実装しています。
  • 当社では、患者様の安全を脅かしたり機密データを侵害したりする恐れのある潜在的な脆弱性や脅威を軽減するために、設計の初期段階からセキュリティを考慮しています。

  

錠前のアイコン

サプライチェーン
 

  • サプライチェーンにおけるセキュリティでは、医療機器の調達、製造、流通、保守に関連するリスクの軽減に重点を置いています。
  • 当社は、セキュリティ要件を確立し、徹底した評価を実施して、製品に組み込まれているコンポーネントやソフトウェアの整合性を保護するため、サプライヤーやパートナーと緊密に連携しています。
  • 安全なコーディング手法の使用、ファームウェアの検証、流通チャネルの保護といった対策を講じることは、サプライチェーン全体で改ざん、偽造、不正な変更の防止に役立ちます。

  

支援のアイコン

インシデントへの対応と脆弱性の管理

  • ストライカーでは、セキュリティ上の問題を迅速に検出、評価、軽減するために、強力なインシデント対応プロセスと脆弱性管理プロセスを導入しています。 これらのプロセスでは、連絡手順の確立、お客様や規制当局への対応の調整、パッチや更新プログラムの適時発行、インシデント後評価などが実施されます。
  • 積極的なセキュリティ対策を講じても、医療機器のライフサイクルにおいて脆弱性やインシデントが発生する可能性は依然として残ります。

  

承認のアイコン

医療業界におけるパートナーシップ
 

  • 当社のこの分野の専門家たちは、業界団体に参加し、サイバーセキュリティの原則と業界のベストプラクティスの推進に取り組んでいます。
  • 当社は、セキュリティを強化するため、お客様、業界関係者、サプライヤーとの間で透明性と連携の文化を育んでいます。
  • 当社は、医療の向上を目指して、業界の枠組みの構築、技術文書の作成、規制当局との積極的なエンゲージメントの実現に貢献しています。

  

最新のセキュリティ勧告

Stryker Voceraレポート サーバーと音声サーバーの脆弱性

詳細

Microsoft Print Spoolerの脆弱性(CVE-2021-34527およびCVE-2021-36958)

詳細

Apache「Log4j」オープンソースロギングライブラリ

詳細

"Urgent 11" 脆弱性 - ウインドリバー VxWorks (ICSA-19-211-01)

詳細
すべての記事を表示する

 

 

製品の協調的脆弱性開示(CVD)

セキュリティ研究者は、サイバーセキュリティの脆弱性や問題を特定する役割を担っています。 ストライカーでは、当社の医療機器の脆弱性について、連携と効果的な報告を促進するための協調的脆弱性開示(CVD:Coordinated Vulnerability Disclosure)プロセスを導入しています。

 

  

重要

  

当社のCVDプロセスに関する重要な情報

当社は、当社の製品の試験を実施する研究者や関係者と誠意を持って協力し、CVDプロセスを通じて報告を行う個人に対して法的措置を講じることはありません。 このプロセスを利用することは、ストライカーとの法的合意とみなされます。

当社は、以下に該当する個人と協力することに同意します。

  • ストライカーまたは当社のお客様に損害を与えることなくシステムの試験および研究を行う。
  • 当社のお客様に影響を与えることなく製品の試験を実施する、機器・ソフトウェアの脆弱性試験を行う前にお客様から許可・同意を得ている。
  • ストライカーと当該個人が同意した諸条件に従ってCVDプログラムの適用範囲内で脆弱性試験を行う。
  • 当該個人および当社事業所在地の法律を順守する。
  • 相互に合意した期間が終了するまで脆弱性に関する詳細を開示しない。

ストライカーと情報を共有することを決定した場合、提供していただく情報は非専売・非機密とみなされ、ストライカーがその情報の全体または一部を一切の制限を受けることなく自由に使用できることに同意することとなります。 また、情報の提供によってご自身に対する権利やストライカーに対する義務が生じるものではないことにも同意していただきます。

  

報告に対し当社は下記の対応を図ります

  

報告に対し当社は下記の対応を図ります

  • メール受信から10営業日以内に適宜に対処。
  • 潜在的な発見事項を適切な製品チームに報告し、検証と再現を実施。 この段階で、追加情報の提供を求める連絡が入る場合がある。
  • 報告書の調査後、脆弱性および潜在的な影響の有無を確認。 特定された脆弱性が患者の安全に影響を及ぼすと判断された場合は、即座に解決策を策定し、適切な措置を講じる。 関連リスクに基づいてその他すべての脆弱性を評価し、対処する。
  • 問題についてオープンなディスカッションを行う。
  • 脆弱性分析の各段階終了時に通知する。
  • 必要に応じて、脆弱性の検証・解決後にレコグニションを付与する。

修正の期限および関連する可能性がある問題・課題について可能な限りの透明性を確保する。

コミュニケーションやその他に関する問題を解決できない場合は、脆弱性の最適な対処法を特定するために中立的なサードパーティ(CERT/CC、ICS-CERT、関連する規制機関等)を採用することがある。

ストライカーのCVDプロセスのあらゆる側面は、ストライカー独自の裁量により予告なく変更される場合があります。 また、特定された事項において対応することを保証するものではありません。

脆弱性管理プロセス

当社の協調的脆弱性開示(CVD)プロセスは、医療機器、プログラム医療機器(SaMD:Software as a Medical Device)、モバイル医療アプリケーションなど、規制対象となっている医療機器製品や医療用ソフトウェア製品も対象としています。 このプロセスは、当社製品に関する技術サポート情報の提供、有害事象の報告、または製品の不具合の申し立てを目的としたものではありません。

 

製品以外の脆弱性を報告するには

ストライカーのエンタープライズインフラストラクチャにおける製品以外の脆弱性についてご報告いただく場合は、ストライカーエンタープライズIT脆弱性開示プログラム(bugcrowd.com/stryker-vdp)を通じて当社までご連絡ください。

 

脆弱性に関する報告書を提出するには

当社の医療機器、プログラム医療機器(SaMD)、またはモバイル医療アプリケーションのいずれかにおいて潜在的な脆弱性を特定した場合は、以下のフォームを使用して、脆弱性に関する報告書をストライカー製品セキュリティチームまでお送りください。

ストライカー製品に関連する有害事象製品の不具合についてご報告いただく場合は、次のサイトにアクセスしてください。 
stryker.com/productexperience

脆弱性報告フォーム

報告書を送信する際は、以下についてご注意ください

  • 報告書が英語で書かれている。
  • 報告書に概念実証コードが記載されている(対応に優先順位を付ける上で役立ちます)。
  • 脆弱性を発見した経緯、影響、可能な修正方法が記載されている。
  • 一般に公開する予定または意図の有無が記載されている。
  • 注: クラッシュダンプやその他の自動ツールの出力のみが記載されている報告書は優先順位が低くなる場合があります。