【サイバーインテリジェンス】DXが加速する製薬業界で製造現場が直面するセキュリティ強化の難題

DXの進展に伴いサイバーリスクも増大中

DXの進展は製薬企業の事業変革を促進し、企業価値や競争力を高めていますが、残念ながらその一方でサイバーリスクの増大にもつながっています。

そもそも製薬企業はその事業の性質上、臨床試験データに代表されるような患者の健康状態や個人情報など、機微性の高い情報を大量かつ持続的に取り扱う必要があり、製薬業界は以前から厳格な情報セキュリティ管理が求められています。DXによるデータ活用の進展に伴い、このような情報の増加および多様化がますます進む中で、サイバー犯罪者はこれらの情報に強い関心を示し、攻撃を活発化させています^*5。もし、これらの情報が窃取された場合、患者や顧客、ひいては社会全体に深刻な影響を及ぼしかねません。また、創薬データを企業間や産学間で共有するようなオープンイノベーションの例にも見られるように、これまで以上に多くの情報がオンラインで収集・管理されるようになっています。それと同時に多様なステークホルダがアクセスできる機会が増えており、サイバー攻撃の標的や糸口の増加にもつながっています。

製薬企業が直面するサイバーリスクは情報やIT環境の領域だけに留まりません。先述のように工場などの製造現場がデジタル化され、生産装置を制御するシステム同士、あるいはオフィスの情報システムと工場の制御システムがネットワークを介して接続されるようになったことで、製造現場のいわゆるOT（Operational Technology）環境もサイバーリスクに晒されるようになっています。デジタル化された工場がサイバー犯罪者による侵攻を許してしまうと、装置の誤作動などにより製品の品質が担保できなくなったり、操業の停止により医薬品の安定供給ができなくなったりと、その影響の大きさは計り知れません。

保有情報の機微性の高さや、事業・業務が中断した場合の影響の大きさに鑑みて、製薬企業はもとよりサイバー犯罪者の標的になりやすい業界であると考えられていましたが、これに拍車をかけたのがコロナ禍でした。2020年5月に米国の国土安全保障省と連邦捜査局（FBI）が自国の研究機関や製薬企業などに対し、中国からのサイバー攻撃の脅威を公式に警告したように、COVID-19関連のデータを狙ったサイバーリスクが国家レベルで高まりました^*6,*7。例えば、PwC Global Threat Intelligence Teamが動向を追跡しているAPT（Advanced Persistent Threat）グループとして、ロシアを拠点とするAPT29（別名 Blue Kitsune）や北朝鮮を拠点とするBlack Banshee（別名 Kimsuky）、そして中国に関連するいくつかのAPTグループがCOVID-19のワクチンに関連する情報を狙った諜報活動を行っていたことが明らかになっています。^*8ワクチンや治療薬開発に係る情報を狙うAPTグループの動きは活性化の一途を辿っており、ある調査結果よれば、製薬会社の約10%がランサムウェア被害を受けやすい状態にあり、製薬企業の47%については既に1,000件以上の従業員クレデンシャル（ユーザIDやパスワードといった認証情報）がディープウェブ上に流出しているともいわれています^*9。

このように、製薬企業はDXの進展による環境変化に加え、パンデミックを契機に世界中のAPTグループの標的となったことで、これまでにないほど大きなサイバーリスクに晒されています。そして、多くの製薬企業はこのようなサイバーリスクの重大性を把握しており、重要な経営課題の1つとして既に取り組んでいると考えられます。

製薬企業におけるOTセキュリティ強化の難題を乗り越えるために

製薬業界においてOTセキュリティの重要性が高まっていることはこれまでに述べて来たとおりです。具体的には、ランサムウェアによる攻撃、コロナ禍でワクチンや治療薬の情報の窃取を目的としたサイバースパイ、工場のOTシステムが社内外のさまざまなネットワークとつながることに伴ってリスクが高まるサプライチェーンへの攻撃、あるいは企業内部に潜む内部不正の脅威など、さまざまなサイバー脅威に対処しなければなりません。そのためには、体制やルールの整備、リスクアセスメントの実行といった管理的な対策と同時に、セキュアなネットワークの構築や、各ホスト上における防御・検知機能の実装といった技術的な対策を推進することでセキュリティの強化を図ることが必要です。一方で、GMP対応のような業界固有の難題に直面し、OTシステムに対する技術的な対策がなかなか進まないという製薬企業が多いこともまた事実です。しかし、「製造プロセスが正しく・意図したとおりに動くことを担保し十分な品質の医薬品を安定供給する」という本質的な目的は、GMPなどの各種規制とOTセキュリティに共通しているはずであり、この難題は製薬企業がDXを進めていく上で乗り越えなければならない障壁であると考えられます。そのために製薬企業各社がまず取り組むべきこととして、次の4点が挙げられます。

トップダウンでの推進：

「規制があるから構成を変更できず技術対策を施せない」という課題を突き詰めると、多くの場合「技術対策が製造プロセスに与える影響を特定し、申請やバリデーションをし直すための要員や時間がない」といったリソース不足がボトルネックになっています。しかし、事業の継続性のためにOTセキュリティが重要な経営課題となっている以上、トップマネジメントが積極的にOTセキュリティ強化をリードし、こうした活動にも必要なリソースを確保できるよう経営資源を配分していく必要があると考えられます。

知識体系の整備：

OTセキュリティは、情報セキュリティやITセキュリティに比べると比較的歴史が浅く、多くの製薬企業が、まだ十分な経験や知見を有していないのが現状です。したがって、まずは製造プロセスへの影響が比較的限定的な一部のOTシステムについて試験的に技術対策を導入し、クイックウィンの対策効果と成功体験を生むことが有効だと考えられます。そのような経験を積み重ねることで「どこまでならGMP省令などの規制に抵触することなく技術対策を施せるか」「再バリデーションなどを伴う場合はどれだけの期間や工数がかかるのか」といった知見を蓄積し、未知の難題から既知の課題に変えていくことが重要です。

セキュリティバイデザインのシステム導入・更新：

「かつては閉じたネットワークや独自プロトコルなどによりサイバー攻撃の標的となりづらかった工場の環境が、デジタル化の進展により脅威にさらされるようになった」というOTセキュリティのストーリーがよく語られます。本稿で述べたOTセキュリティの難題もこのような背景に起因するものであると考えられます。すなわち、従来は特にセキュリティ対策をせずともよかったOTシステムにセキュリティ対策を新たに施さなければならなくなったため、構成変更の難しさがボトルネックになっているということです。しかし、今やOTセキュリティの必要性は十分に認知されつつあるため、今後のシステム導入や更新に向けては、技術的なセキュリティ対策の組み込みを前提とした計画を立てていくことが必要になります。そのためにはNIST SP800-82 Guide to Industrial Control Systems (ICS) SecurityやIEC 62443シリーズといったOTシステム向けのセキュリティフレームワークを活用し、自社のOTシステムに必要なセキュリティ要件をあらかじめ洗い出し、システムの企画・設計段階から取り込んでいくことが有効です。こうしたセキュリティバイデザインのアプローチに切り替えることで、OTシステムのセキュリティ対策を中期的に強化し、技術対策のハードルを下げていくことが可能になると考えられます。

製薬業界内での情報連携：

国家の後ろ盾を持つAPTグループの登場や、攻撃手法の革新などによりセキュリティの脅威はますます高度化しています。そのため、個々の企業が独力で対処することは不可能な水準になりつつあると言われており、官民連携や企業間連携を強める動きが進んでいます。その一例として、ISAC（Information Sharing and Analysis Center）に代表される情報共有組織もさまざまな業界で設立され、活動しています。こうした情報共有の仕組みは、脅威の動向やインシデント情報の共有のみならず、セキュリティ対策に係る業界固有の難しさをどのように解決するかといった知見の共有にも役立てられます。現状日本国内には金融やICT、電力などと並んで医療ISACが存在しますが、製薬企業は加盟対象となっていません。しかし、国内大手製薬企業各社で構成され、医療ISACとの連携を行っている「製薬業界サイバーセキュリティ担当者会議」のような同様の仕組みは存在するため、これらを活用しつつ、企業横断的に知見を共有していくことも重要であると考えられます。

以上のように、OTセキュリティへの取り組みはまだ歴史が浅く、多くの製薬企業が同様の難題に直面しているのが現状です。したがって、まずは経験・知見を蓄積しつつ、製薬業界全体として道を拓いていくことが重要ではないでしょうか。