|
|
|
|
|
AIセキュリティソリューションを開発・提供するCoWorker株式会社(本社:東京都新宿区、代表取締役:山里一輝、以下「当社」もしくは「CoWorker」)は、株式会社BiPSEE(東京都渋谷区、代表取締役:松村 雅代、以下「BiPSEE」)が開発中の「VRうつ病治療システム(仮称)(以下VRうつ病治療システム)」に対し、第三者の立場から ブラックボックス型ペネトレーションテスト(脆弱性診断) を実施したことをお知らせします。 |
|
|
|
本システムは、厚生労働省より「プログラム医療機器に係る優先的な審査等の対象品目」に指定されたVRうつ病治療システム(VR DTx)です。当社は、AIを活用した自律型脆弱性診断プラットフォーム 「Red Agent」 を用いて、医療データを扱うソフトウェア医療機器のセキュリティ確保を支援しました。 |
|
|
|
|
|
|
|
主なポイント |
|
|
|
プログラム医療機器を目指すシステムに対するペネトレーションテスト |
BiPSEEが開発するVRうつ病治療システムは、厚生労働省による優先審査制度の対象品目に指定され、クラスII医療機器としての承認を目指しています。医療機器として求められる高い安全性を満たすため、当社は同システムの外部インターフェースや通信処理を対象にブラックボックス型脆弱性診断を実施しました。
|
|
AIによる自律型診断で熟練ペンテスター級の検査を短期間で実施 |
CoWorker開発の「Red Agent」を活用し、ソースコードや内部構造を参照しない条件で脆弱性を探索。診断は数日で完了し、人手による従来型診断に比べて大幅に工数を削減しつつ、検出漏れのリスクを低減しました。
|
|
データ保護と患者安全への貢献 |
診断の結果、重大な脆弱性は認められず、セキュリティ要件を満たしていることを確認しました。検出された軽微な改善点についてはBiPSEE社と共有し、早期に対処することで医療データの保護と患者安全の向上に貢献します。
|
|
デジタル療法分野へのセキュリティ支援を拡大 |
|
抗うつ薬中心の標準治療だけでは寛解に至る患者が限定的で、認知行動療法の国内実施率が約6%と低い現状を背景に、BiPSEEのVRシステムのデジタル化と個別化を目指す、認知行動療法的な手法を用いたソリューションとして開発されています。 |
|
当社は今回の検証を通じ、急成長するデジタル療法分野におけるセキュリティ確保の重要性を訴求し、今後も医療機器開発企業への支援を強化していきます。 |
|
|
|
背景:VRうつ病治療システムについて |
|
|
|
|
|
|
|
BiPSEEは2020年より、うつ病治療を目的としたVRデジタル療法の研究開発を進めています。うつ病患者は日本で約500万人、世界で約3億人に上り、COVID‑19パンデミックの影響等により増加傾向にあります。従来の抗うつ薬治療だけでは十分な効果を得られないケースが多く、最初の抗うつ薬で寛解に至るのは3人に1人に過ぎません。また、認知行動療法の国内での実施率は6%と低い状況です。 |
|
BiPSEEが開発するVRうつ病治療システムは、VR環境でデジタル化した認知行動療法的アプローチを用い、患者一人ひとりに合わせた個別化医療を実現することを目的としています。こうしたプログラム医療機器はソフトウェアそのものが医療機器となるSaMD(Software as a Medical Device)であり、厚生労働省は特性を踏まえた要件設定のもと、優先的な相談・審査を行う制度を2022年度より試行しています。第二種医療機器製造販売業はクラスII医療機器(管理医療機器)の製造販売に伴う出荷・流通責任を負う業態で、人体へのリスクが比較的低い製品が対象とされています。 |
|
|
|
ペネトレーションテストの概要 |
|
|
|
当社は、医療デバイスのセキュリティ検証において、現実の攻撃者と同じ条件で評価することが重要であると考えています。今回は以下の条件でテストを実施しました。 |
|
|
|
・ブラックボックス条件での診断 |
|
対象システムのソースコードや設計情報を一切参照せず、公開されたインターフェースと動作ログのみを基に攻撃経路を探索しました。 |
・Red Agentによる自動診断 |
|
AIエージェントが複数の攻撃パターンを自律的に生成・実行し、脆弱性の有無を検証しました。フラグ取得型ベンチマークの手法を応用し、攻撃成功時には自動的に検知できる仕組みを導入しました。 |
・テスト期間と範囲 |
|
テストは2026年2月に実施し、Webアプリケーション、APIエンドポイント、ユーザー認証およびデータ通信プロトコルを対象としました。患者の個人情報や治療データを保護するための暗号化・認可機構も重点的に確認しました。 |
・結果と改善提案 |
|
致命的な脆弱性は検出されず、セキュリティ対策が適切に実装されていることを確認しました。さらなるセキュリティ強化を目的とした軽微な改善点を共有し、BiPSEE社は迅速な対応を進めています。 |
|
|
|
代表コメント |
|
|
|
CoWorker株式会社 代表取締役 山里 一輝 |
|
「医療分野ではデジタル技術の活用が急速に進み、ソフトウェア医療機器(SaMD)やデジタル療法など新しい医療の形が広がっています。一方で、近年、海外では医療機関や医療機器を狙ったサイバー攻撃も増加しており、医療機器開発の段階からセキュリティ検証を行う重要性が高まっています。医療システムは患者の個人情報や診療データなど極めて重要な情報を扱うため、サイバーセキュリティの確保は医療の安全性を支える重要な基盤となっています。 |
|
今回、BiPSEE様の先進的なVRうつ病治療システムに対し、ブラックボックス型の脆弱性診断を実施し、重大なリスクがないことを確認できました。AIによる自動診断と人間の知見を組み合わせることで、医療機器に求められる高いセキュリティ水準の確保に貢献し、医療現場で安心して活用できるデジタル医療の普及を支えてまいります。」 |
|
|
|
株式会社BiPSEE 代表取締役 松村 雅代 |
|
|
|
|
|
|
|
「当社のVRうつ病治療システムは、厚生労働省の優先審査制度に指定されるなど、実用化に向けて大きな一歩を踏み出しています。今回、CoWorker社による脆弱性診断を受け、医療データを扱う製品として、患者さんと医療現場にとって大きな安心材料です。今後も治験や臨床試験を通じ、実装とセキュリティの両面で信頼される製品づくりを進めてまいります。」 |
|
|
|
|
|
CoWorkerは今後も、AIを活用したプロダクトおよび脆弱性診断およびペネトレーションテストの技術を通じて、医療分野をはじめとする重要インフラ領域におけるセキュリティ強化に取り組んでまいります。デジタル医療やプログラム医療機器(SaMD)など新しい医療技術の普及が進む中で、開発段階からのセキュリティ確保を支援し、安全で信頼できるデジタル社会の実現に貢献してまいります。 |
|
|
|
|
|
参考:「Red Agent」(AI脆弱性診断)について
|
|
|
|
Red Agentについて |
|
|
|
|
|
|
|
脆弱性診断・ペネトレーションテストを自動実行し、診断工数を大幅に削減 |
|
「Red Agent」は、脆弱性診断やペネトレーションテストを自律化し、攻撃の前にリスクを排除するAIセキュリティサービスです。 従来は属人的だった診断業務を、弊社独自のAIエージェントが標準化・高速化することで、網羅的なリスク把握と迅速な対策を実現します。 診断は従来比で最大1/10の時間で完了し、オンプレミス環境にも対応。結果は丁寧かつ分かりやすいレポートとして提示され、実務での活用を強力に支援します。 |
|
|
|
|
|
|
|
|
|
当社は「Red Agent」の提供に加え、従来型の脆弱性診断・ペネトレーションテスト(人手による検証を含む)も提供しています。「まずは第三者として現状を診断してほしい」「AIを導入する妥当性を検証したい」「継続的なセキュリティテストに移行したい」といったニーズに対し、段階的な導入設計が可能です。 |
|
|
|
|
|
“熟練ペンテスター級”を超える成功率を実現 |
|
|
|
|
|
|
|
89.1 %の成功率が示すもの |
|
公開されているXBOWの比較実験によると、5人のプロペンテスター(ジュニアから20年以上の経験を持つベテランまで)が同ベンチマークを実施した結果、最も熟練したペンテスターの成功率は85 %、スタッフレベルのペンテスターは59 %でした。当社の「Red Agent」(Web診断のみ)の89.1 %という結果は、この公開水準を上回り、AIを用いた自動脆弱性診断が熟練ペンテスターの域に達しつつあることを示唆します。 |
|
|
|
ただし、数値の単純比較には注意が必要です。ブラックボックス条件では、ソースコードや設計情報を持たない状態で脆弱性を突き止める必要があり、難易度が高く成功率は低くなりがちです。一方、ホワイトボックス条件でのペンテストでは、内部情報をもとに攻撃戦略を立てられるため成功率が高くなる傾向があります。当社は実運用に近いブラックボックス条件で評価しています。 |
|
|
|
|
|
|
|
CoWorker株式会社について |
|
|
|
|
|
|
|
CoWorker株式会社は、高い技術力を武器に、システム開発・ITコンサルティング・セキュリティの3領域を展開する少数精鋭のAIテクノロジーカンパニーです。「Security × AI」で次世代セキュリティの研究開発を通じて、社会の安全基盤の強化に貢献しています。 |
|
|
|
会社名 :CoWorker株式会社 |
|
設立年月 :2019年2月 |
|
住所 :東京都新宿区西新宿三丁目3番13号西新宿水間ビル6階 |
|
代表取締役 :山里 一輝 |
|
事業内容 :システム開発 / IT・AI開発コンサルティング / サイバーセキュリティ事業 |
|
URL :https://www.coworker.co.jp/
|
|
|
|
製品・サービス/広報に関するお問い合わせ |
|
CoWorker株式会社 広報担当 |
|
お問い合わせフォーム |
|
https://www.coworker.co.jp/contact |
|
