开发并提供AI安全解决方案的CoWorker株式会社(总公司:东京都新宿区,代表董事:山里一辉,以下简称「本公司」或「CoWorker」)宣布,已完成对株式会社BiPSEE(东京都涩谷区,代表董事:松村 雅代,以下简称「BiPSEE」)开发中的「VR忧郁症治疗系统(暂定)(以下简称VR忧郁症治疗系统)」进行第三方黑箱渗透测试(漏洞评估)。 本系统是经厚生劳动省指定为「程序医疗设备相关优先审查对象品目」的VR忧郁症治疗系统(VR DTx)。本公司利用AI驱动的自主漏洞评估平台「Red Agent」,支持处理医疗数据的软件医疗设备的安全性保障。 *参考 AI安全公司CoWorker在黑箱渗透测试中达到超越「熟练渗透测试员级别」的成功率 https://prtimes.jp/main/html/rd/p/000000017.000156001.html 主要重点 针对旨在成为程序医疗设备的系统进行渗透测试 BiPSEE开发的VR忧郁症治疗系统被厚生劳动省指定为优先审查制度的对象品目,目标是获得第二类医疗设备的批准。为满足医疗设备所需的高安全性,本公司对该系统的外部接口和通信处理进行了黑箱漏洞评估。 AI自主评估在短时间内完成熟练渗透测试员级别的检查 利用CoWorker开发的「Red Agent」,在不参考原代码或内部结构的条件下探索漏洞。评估在数天内完成,与传统的人工评估相比,大幅减少了工时,同时降低了漏检的风险。 对数据保护和患者安全的贡献 评估结果未发现重大漏洞,确认符合安全要求。已将检测到的轻微改进点与BiPSEE公司共享,并通过及早处理,为医疗数据的保护和患者安全的提升做出贡献。 扩大对数字疗法领域的安全支持 在以抗忧郁药为中心的标准治疗中,达到缓解的患者有限,且认知行为疗法在日本的实施率仅约6%的现状下,BiPSEE的VR系统被开发为一种利用认知行为疗法方法,旨在实现数字化和个人化的解决方案。 本公司通过此次验证,强调了在快速发展的数字疗法领域中确保安全的重要性,并将继续加强对医疗设备开发公司的支持。 背景:关于VR忧郁症治疗系统 自2020年以来,BiPSEE一直在进行以治疗忧郁症为目的的VR数字疗法的研究开发。日本约有500万忧郁症患者,全球约有3亿人,且由于COVID-19大流行等影响,呈现增加趋势。许多情况下,单靠传统的抗忧郁药治疗效果不佳,只有三分之一的患者在首次使用抗忧郁药后达到缓解。此外,认知行为疗法在日本的实施率仍然很低,为6%。 BiPSEE开发的VR忧郁症治疗系统旨在通过VR环境中数字化的认知行为疗法方法,实现针对每位患者的个人化医疗。此类程序医疗设备是软件本身即为医疗设备的SaMD(Software as a Medical Device),厚生劳动省自2022财年起试行了一项制度,根据其特性设置要求,进行优先咨询和审查。第二种医疗设备制造销售业是负责第二类医疗设备(管理医疗设备)制造销售相关出货和流通的业务形态,对人体风险相对较低的产品为对象。 渗透测试概述 本公司认为,在医疗设备的安全验证中,以与实际攻击者相同的条件进行评估至关重要。本次测试在以下条件下进行: ・黑箱评估条件 仅基于公开接口和操作日志探索攻击路径,完全不参考目标系统的原代码或设计信息。 ・Red Agent自动评估 AI代理自主生成并运行多种攻击模式,验证是否存在漏洞。应用夺旗型基准测试方法,引入了在攻击成功时自动检测的机制。 ・测试期间和范围 测试于2026年2月进行,涵盖了Web应用程序、API端点、用户认证以及