{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-01-11
近年、製薬企業のバリューチェーン全体でデジタルトランスフォーメーション(DX)が加速しています。
研究開発においては、日本製薬工業協会が2021年5月に公表した3つの政策提言*1のうちの1つに「DXによる医療と創薬研究開発の高度化」が掲げられているように、ゲノムやプロテオームといったオミックス情報データ、調剤情報や電子カルテといったリアルワールドデータに代表される医療ビッグデータの収集および活用は製薬業界共通の関心事となっています。またこれらのデータを創薬に生かすべく、外資・国内を問わずさまざまな製薬企業がAI企業やIT企業と連携*2し、AI創薬などと呼ばれるような新しい創薬手法の開発に注力しています。このような「創薬のDX」は、新薬開発のスピードアップ、コスト低下、成功確率の向上といった効果をもたらし、ハイリスク・ハイリターンともいわれる従来型の事業構造からの転換につながることが期待されています。
また営業・マーケティングの側面においても、新型コロナウイルス感染症(COVID-19)の拡大が後押しとなり、DXがますます進んでいます。製薬企業の営業コストの大部分はMR関連費用が占めると言われていますが、MRの人数は2013年度の6万5752人をピークとして2014年度から減少傾向が続いています*3。その背景には、営業・マーケティングのデジタル化による、情報流通チャネルの多様化とMR活動の効率化という大きく2つの要因があると考えられます。前者については医師のインターネット利活用が進み、会員制医療情報サイトをはじめとするMR以外のチャネルが有力な情報源となってきていることが挙げられます。後者に関しても、コロナ禍によって対面の訪問が減り、ビデオ会議やビジネスチャットツールなどの活用が進んだことで、MR1人当たりの担当地域が拡大し、コミュニケーションの効率化が大きく進みました。これらの傾向はコロナ禍終息後も続くと見られており、各製薬企業はデジタルマーケティングの強化を進めています。
研究開発や営業・マーケティングの領域だけでなく、工場をはじめとする製造現場にもデジタル化の波が到来しています。その背景にはもちろん自動化による効率化やコスト削減といった目的がありますが、デジタル化は「優れた医薬品を継続的に開発し、安定的に供給する」*4という製薬企業の使命を果たす上で、何よりも重要な変革であると考えられます。医薬品の品質を担保するため、製薬企業にはGMP(Good Manufacturing Practice)に代表されるような厳しい規制が課されていますが、デジタル化が成熟していくことで、製造のさまざまな工程がデータとして記録され、属人性が減ることでオペレーションの再現性および安定性が高まり、品質の向上に寄与することが期待されます。また、MES(Manufacturing Execution System)やSCADA(Supervisory Control And Data Acquisition)といった生産管理システムを介して計画から実行までのプロセスがつながり、データとして可視化されることで、必要な量の医薬品をスピーディかつ安定的に製造・供給することが可能となります。
DXの進展は製薬企業の事業変革を促進し、企業価値や競争力を高めていますが、残念ながらその一方でサイバーリスクの増大にもつながっています。
そもそも製薬企業はその事業の性質上、臨床試験データに代表されるような患者の健康状態や個人情報など、機微性の高い情報を大量かつ持続的に取り扱う必要があり、製薬業界は以前から厳格な情報セキュリティ管理が求められています。DXによるデータ活用の進展に伴い、このような情報の増加および多様化がますます進む中で、サイバー犯罪者はこれらの情報に強い関心を示し、攻撃を活発化させています*5。もし、これらの情報が窃取された場合、患者や顧客、ひいては社会全体に深刻な影響を及ぼしかねません。また、創薬データを企業間や産学間で共有するようなオープンイノベーションの例にも見られるように、これまで以上に多くの情報がオンラインで収集・管理されるようになっています。それと同時に多様なステークホルダがアクセスできる機会が増えており、サイバー攻撃の標的や糸口の増加にもつながっています。
製薬企業が直面するサイバーリスクは情報やIT環境の領域だけに留まりません。先述のように工場などの製造現場がデジタル化され、生産装置を制御するシステム同士、あるいはオフィスの情報システムと工場の制御システムがネットワークを介して接続されるようになったことで、製造現場のいわゆるOT(Operational Technology)環境もサイバーリスクに晒されるようになっています。デジタル化された工場がサイバー犯罪者による侵攻を許してしまうと、装置の誤作動などにより製品の品質が担保できなくなったり、操業の停止により医薬品の安定供給ができなくなったりと、その影響の大きさは計り知れません。
保有情報の機微性の高さや、事業・業務が中断した場合の影響の大きさに鑑みて、製薬企業はもとよりサイバー犯罪者の標的になりやすい業界であると考えられていましたが、これに拍車をかけたのがコロナ禍でした。2020年5月に米国の国土安全保障省と連邦捜査局(FBI)が自国の研究機関や製薬企業などに対し、中国からのサイバー攻撃の脅威を公式に警告したように、COVID-19関連のデータを狙ったサイバーリスクが国家レベルで高まりました*6,*7。例えば、PwC Global Threat Intelligence Teamが動向を追跡しているAPT(Advanced Persistent Threat)グループとして、ロシアを拠点とするAPT29(別名 Blue Kitsune)や北朝鮮を拠点とするBlack Banshee(別名 Kimsuky)、そして中国に関連するいくつかのAPTグループがCOVID-19のワクチンに関連する情報を狙った諜報活動を行っていたことが明らかになっています。*8ワクチンや治療薬開発に係る情報を狙うAPTグループの動きは活性化の一途を辿っており、ある調査結果よれば、製薬会社の約10%がランサムウェア被害を受けやすい状態にあり、製薬企業の47%については既に1,000件以上の従業員クレデンシャル(ユーザIDやパスワードといった認証情報)がディープウェブ上に流出しているともいわれています*9。
このように、製薬企業はDXの進展による環境変化に加え、パンデミックを契機に世界中のAPTグループの標的となったことで、これまでにないほど大きなサイバーリスクに晒されています。そして、多くの製薬企業はこのようなサイバーリスクの重大性を把握しており、重要な経営課題の1つとして既に取り組んでいると考えられます。
前述の通り、製薬業界のバリューチェーン全体でDXが加速するとともにサイバーリスクが高まり、製薬企業の多くが高い危機意識をもってセキュリティ強化に取り組んでいます。しかし、セキュリティ強化と一口に言ってもその対象範囲や内容はさまざまです。製薬業界においては、従来から機微な情報を取り扱うため、情報そのものやITシステムについては継続的にセキュリティ強化を進めてきました。それに比べ、工場などの製品製造や品質管理を担う制御系システム(以後、OTシステム)に係るセキュリティ管理は相対的に成熟度が低く、多くの企業がその強化に注力し始めている段階にあるというのが現状です。
工場をはじめとする生産現場にもクラウドやAI、産業用IoTといったデジタル技術が導入され、人間の手作業に依存していた工程が自動化されていくことが「優れた医薬品を継続的に開発し、安定的に供給する」*4という製薬企業の使命を果たすことに大きく貢献することは先に述べた通りです。しかし裏を返せば、こういったOTシステムがサイバー攻撃の被害を受けることは、製薬というビジネスに致命的な影響を与えかねないとも言えるため、OTセキュリティの確保はまさに急務であると考えられます。
一方でOTセキュリティの強化を進めるにあたっては、OTシステムの特殊性による難しさに加えて製薬業界固有の障壁もあり、多くの製薬企業が同じような難題に直面している、あるいは今後直面する可能性があると考えられます。
産業領域を問わずOTセキュリティの強化に共通する難しさとしては、次のような事項が挙げられます(過去のレポートでより詳細に考察しているため、併せてご参照ください*10, *11)。
OTセキュリティ強化には上記のような一般的な難しさがあることに加え、製薬業界特有の難しさとして、2021年8月1日に改正、施行された「医薬品及び医薬部外品の製造管理及び品質管理の基準に関する省令」(以下、「GMP省令」)に代表されるような法規制に起因する技術対策に係る障壁の高さがあります。GMPの目的は「人為的な誤りを最小限にすること」「汚染及び品質低下を防止すること」「高い品質を保証するシステムを設計すること」(通称「GMP三原則」)とされており、医薬品を製造販売する各社はこれに準拠し、原料調達から製造、品質管理、出荷までの全プロセスについて、手順やシステム構成などに係る文書の整備、システムのバリデーション、そして実際の遵守状況の記録などを徹底しています。このような背景がある中で、セキュリティ対策のためにシステムの構成やバージョンを変更したり、セキュリティ対策ソフトウェアを導入したりといった技術的な対策を施すことは、システムの再バリデーションなどが必要となり、現場に大きな負荷がかかることが懸念されます。また、そもそもどのようなセキュリティ対策を導入する場合は再バリデーションが必要で、どこまでなら製造工程や品質への影響がないと判断できるのかといった知見も、現状では大きく不足しています。したがって、OTセキュリティ強化を進める上で技術的な対策がなかなか進まない、最も守りたいはずのOTシステムを直接守れないといった課題は、今のところ製薬業界にとって共通のものとなっています。
製薬業界においてOTセキュリティの重要性が高まっていることはこれまでに述べて来たとおりです。具体的には、ランサムウェアによる攻撃、コロナ禍でワクチンや治療薬の情報の窃取を目的としたサイバースパイ、工場のOTシステムが社内外のさまざまなネットワークとつながることに伴ってリスクが高まるサプライチェーンへの攻撃、あるいは企業内部に潜む内部不正の脅威など、さまざまなサイバー脅威に対処しなければなりません。そのためには、体制やルールの整備、リスクアセスメントの実行といった管理的な対策と同時に、セキュアなネットワークの構築や、各ホスト上における防御・検知機能の実装といった技術的な対策を推進することでセキュリティの強化を図ることが必要です。一方で、GMP対応のような業界固有の難題に直面し、OTシステムに対する技術的な対策がなかなか進まないという製薬企業が多いこともまた事実です。しかし、「製造プロセスが正しく・意図したとおりに動くことを担保し十分な品質の医薬品を安定供給する」という本質的な目的は、GMPなどの各種規制とOTセキュリティに共通しているはずであり、この難題は製薬企業がDXを進めていく上で乗り越えなければならない障壁であると考えられます。そのために製薬企業各社がまず取り組むべきこととして、次の4点が挙げられます。
「規制があるから構成を変更できず技術対策を施せない」という課題を突き詰めると、多くの場合「技術対策が製造プロセスに与える影響を特定し、申請やバリデーションをし直すための要員や時間がない」といったリソース不足がボトルネックになっています。しかし、事業の継続性のためにOTセキュリティが重要な経営課題となっている以上、トップマネジメントが積極的にOTセキュリティ強化をリードし、こうした活動にも必要なリソースを確保できるよう経営資源を配分していく必要があると考えられます。
OTセキュリティは、情報セキュリティやITセキュリティに比べると比較的歴史が浅く、多くの製薬企業が、まだ十分な経験や知見を有していないのが現状です。したがって、まずは製造プロセスへの影響が比較的限定的な一部のOTシステムについて試験的に技術対策を導入し、クイックウィンの対策効果と成功体験を生むことが有効だと考えられます。そのような経験を積み重ねることで「どこまでならGMP省令などの規制に抵触することなく技術対策を施せるか」「再バリデーションなどを伴う場合はどれだけの期間や工数がかかるのか」といった知見を蓄積し、未知の難題から既知の課題に変えていくことが重要です。
「かつては閉じたネットワークや独自プロトコルなどによりサイバー攻撃の標的となりづらかった工場の環境が、デジタル化の進展により脅威にさらされるようになった」というOTセキュリティのストーリーがよく語られます。本稿で述べたOTセキュリティの難題もこのような背景に起因するものであると考えられます。すなわち、従来は特にセキュリティ対策をせずともよかったOTシステムにセキュリティ対策を新たに施さなければならなくなったため、構成変更の難しさがボトルネックになっているということです。しかし、今やOTセキュリティの必要性は十分に認知されつつあるため、今後のシステム導入や更新に向けては、技術的なセキュリティ対策の組み込みを前提とした計画を立てていくことが必要になります。そのためにはNIST SP800-82 Guide to Industrial Control Systems (ICS) SecurityやIEC 62443シリーズといったOTシステム向けのセキュリティフレームワークを活用し、自社のOTシステムに必要なセキュリティ要件をあらかじめ洗い出し、システムの企画・設計段階から取り込んでいくことが有効です。こうしたセキュリティバイデザインのアプローチに切り替えることで、OTシステムのセキュリティ対策を中期的に強化し、技術対策のハードルを下げていくことが可能になると考えられます。
国家の後ろ盾を持つAPTグループの登場や、攻撃手法の革新などによりセキュリティの脅威はますます高度化しています。そのため、個々の企業が独力で対処することは不可能な水準になりつつあると言われており、官民連携や企業間連携を強める動きが進んでいます。その一例として、ISAC(Information Sharing and Analysis Center)に代表される情報共有組織もさまざまな業界で設立され、活動しています。こうした情報共有の仕組みは、脅威の動向やインシデント情報の共有のみならず、セキュリティ対策に係る業界固有の難しさをどのように解決するかといった知見の共有にも役立てられます。現状日本国内には金融やICT、電力などと並んで医療ISACが存在しますが、製薬企業は加盟対象となっていません。しかし、国内大手製薬企業各社で構成され、医療ISACとの連携を行っている「製薬業界サイバーセキュリティ担当者会議」のような同様の仕組みは存在するため、これらを活用しつつ、企業横断的に知見を共有していくことも重要であると考えられます。
以上のように、OTセキュリティへの取り組みはまだ歴史が浅く、多くの製薬企業が同様の難題に直面しているのが現状です。したがって、まずは経験・知見を蓄積しつつ、製薬業界全体として道を拓いていくことが重要ではないでしょうか。
*1 製薬工業協会, 2021年,「日本製薬工業協会の政策提言」(2021年12月20日閲覧)
https://www.mhlw.go.jp/content/10807000/000780124.pdf
*2 国立研究開発法人 科学技術振興機構, 2020年, 「創薬DX ~新薬開発のデジタル化~」(2021年12月20日閲覧)
https://www.jst.go.jp/crds/sympo/20200928/pdf/02.pdf
*3 公益財団法人 MR認定センター, 2021年, 「2021年版 MR白書 -MRの実態および教育研修の変動調査」(2021年12月20日閲覧)
https://www.mre.or.jp/info/guideline.html#guideline2021
*4 製薬工業協会, 2018年, 「製薬協企業行動憲章」(2021年12月20日閲覧)
https://www.jpma.or.jp/basis/kensyo/kigyo/index.html
*5 OFFICE OF THE NEW YORK STATE COMPTROLLER, 2021, “The Increasing Threat of Identity Theft” (2021年12月20日閲覧)
https://www.osc.state.ny.us/files/reports/pdf/increasing-threat-of-identity-theft.pdf
*6 “Department of Homeland Security, 2020, “(2021年12月20日閲覧)
https://homeland.house.gov/imo/media/doc/2020-05-13%20F%20Rose%20Walker%20T%20DHS%20I&A%20-%20China.pdf
*7 FBI National Press Office, 2020, ”People’s Republic of China (PRC) Targeting of COVID-19 Research Organizations” (2021年12月20日閲覧)
https://www.fbi.gov/news/pressrel/press-releases/peoples-republic-of-china-prc-targeting-of-covid-19-research-organizations
*8 PwC UK, 2021, "Under the Lens The Healthcare Sector" Q3 2021
*9 BLACK KITE, 2021, “THE2021 RANSOMWARE RISK PULSE: PHARMACEUTICAL MANUFACTURING”
https://blackkite.com/whitepaper/2021-ransomware-risk-pulse-pharmaceutical-manufacturing/
*10 PwC, 2020年, 「工場(OT)環境におけるセキュリティアーキテクチャのリファレンスモデル化の重要性」
*11 PwC, 2020年, 「OT環境:サイバー犯罪の新たな領域 ― デジタル化する工場のサイバーセキュリティ(PwCオーストラリア)」
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/operational-technology-cybercrime-frontier.html