医薬品の生産と研究を守るOTセキュリティ(アステラス製薬株式会社)
セキュリティ脅威が急速に高まる製薬業界。製造設備や研究・開発設備のセキュリティをどのように強化していくべきなのか。アステラス製薬株式会社の上杉 麗子氏に、同社がOTセキュリティに注力する背景から目指す未来像までを伺いました。
医薬品の生産と研究を守るOTセキュリティ(アステラス製薬株式会社)
2021-07-07
工場や研究所のOT(Operation Technology)システムを狙ったサイバー攻撃が急増しています。特に、新型コロナウイルス感染症(COVID-19)拡大の影響から、製薬業界ではセキュリティ脅威が急速に高まっています。そのような状況下、製造設備や研究・開発設備のセキュリティをどのように強化していくべきなのか。アステラス製薬株式会社(以下、アステラス)の上杉 麗子氏に、同社がOTセキュリティに注力する背景から目指す未来像までを伺いました。
(本文敬称略)
対談者
アステラス製薬株式会社 製薬技術本部技術企画部
上杉 麗子氏
PwCコンサルティング合同会社 テクノロジーコンサルティング デジタルトラスト ディレクター
上村 益永
(左から)上村 益永、上杉 麗子氏
製薬業界へのサイバー攻撃が注力のきっかけに
上村:
近年、製薬業における工場や研究機関を取り巻く環境が大きく変化しています。自動化やインターネットへの接続、標準プロトコルの利用増加などが一例です。これに伴い、ワクチン開発データを狙ったサイバー攻撃が急増しています。製薬会社がランサムウエアに感染し、システム停止やワクチン生産停止などの被害に遭うといった事例も発生しています。こうした環境の中、アステラス製薬は特にOTセキュリティに注力されていますね。
上杉:
はい。アステラスは、工場や研究所に対するセキュリティの最重要リスクを「サイバーセキュリティ」「サプライチェーンマネジメント」「薬事行政の影響」の3つと定義しています。OTセキュリティは、これら最重要リスクの全てに関わる重要な取り組みです。
アステラスがOTセキュリティに取り組むようになったきっかけは、同業他社が大きなセキュリティインシデントに見舞われたことです。同じ製薬会社の生産ラインで被害が発生したことから、アステラスにとっても対岸の火事ではないことを自覚しました。サイバー攻撃の被害に遭ってしまえば、製品供給や製品品質といった事業の根幹にもダメージが生じる可能性があります。こうした事態は何としても避けなければなりません。当時の製薬技術本部長が、製薬会社を狙ったサイバー攻撃に対する強い危機感を抱き、2018年度からOTセキュリティ対策を本格的に開始したのです。
上村:
2018年から2019年と言えば、ランサムウエアが世界的に猛威を振るったころですね。工場関連のサイバーインシデントが増加し、国内でも多数の被害が報告されました。
上杉:
はい。当初は事業継続計画(BCP)の一環として始動しました。最初に着手したのは、サプライチェーンにおけるリスク調査です。ただし、こちらは在庫の管理ポリシーがしっかりしていたため、物流倉庫関連のセキュリティ課題は小さいことを確認できました。
次に2018年度後半から、生産工場におけるリスクの調査を開始しました。具体的には特定の製造ラインをサンプルに、セキュリティリスクアセスメントを実施しました。私がOTセキュリティに参画するようになったのはこのころです。サンプルになった製造ラインの導入に携わっていたのがきっかけです。
上村:
リスク調査の結果を社内に共有されたそうですが、反応はいかがでしたか。
上杉:
技術的なセキュリティ対策の必要性が認知されたことは大きな収穫でした。一方で、明確なセキュリティポリシーがないとさまざまな場面で判断が困難になることも判明しました。それから、外部企業の力も借りながら、ガバナンス強化を推進するアプローチを整えていったのです。
アステラス製薬株式会社 製薬技術本部技術企画部 上杉 麗子氏
リスク&レジリエンスと情報セキュリティの両面からガバナンスを効かせる
上村:
ガバナンス強化を推進される中で、OTセキュリティ担当の組織体制を刷新されたそうですね。
上杉:
はい。OTセキュリティを真剣に検討するには技術的なバックグラウンドを持った人材が不可欠であるため、OTとITの知見と経験を有する人材をアサインし、技術的観点から強化できる体制へとシフトしたのです。
上村:
OTセキュリティに取り組む企業の担当者にお話を伺うと、ITセキュリティとは異なる2つの課題があると実感します。1つは、OTセキュリティの担当者にはサイバーセキュリティの専門知識はもちろん、業界特有のシステムや業務に関する見識も求められる点です。しかし、そのような人材は絶対的に不足しています。
もう1つは、「OT部門ではセキュリティのレギュレーションが決まっていない」という課題です。「誰が」「どの領域を」「どのような権限で」担当するのかが曖昧なまま、場当たり的な対策に終始してしまうケースが少なくないのです。アステラスはこうしたOTセキュリティ固有の難しさに、どのように対処されていますか。
上杉:
アステラスは、全社レベルでリスクを統合管理している委員会があり、「リスク&レジリエンス活動」を推進しています。この活動は、製薬技術本部でも同様で、部門別の(セキュリティ)委員会で活動を推進しています。OTセキュリティは、リスク&レジリエンス活動における重要リスクの1つです。
またガバナンスの面で言うと、OTセキュリティは「リスク&レジリエンスガバナンス」と「情報セキュリティガバナンス」の双方に関係します。そこで私たち担当チームは、情報セキュリティの観点からも、ITのサイバーセキュリティに並ぶようなワーキングチームとして位置付けられています。OTセキュリティのガバナンスを担保するために、製薬技術本部のメンバーが全体を統括し、OTシステムが稼働している工場や研究所の各組織を管理する体制を構築しています。情報システム部やコーポレートリスクマネジメント部とも密に連携し、リスク&レジリエンスと情報セキュリティの両側面からセキュリティ対策に取り組んでいます。
PwCコンサルティング合同会社 テクノロジーコンサルティング デジタルトラスト ディレクター 上村 益永
組織の意識改革がOTセキュリティ成功のカギ
上村:
OTセキュリティ対策を進める上で、難しさを感じられた部分はどういったところでしょう。
上杉:
技術的なことよりも、OTセキュリティを組織に定着させることに難しさを感じています。よく言われていることですが、セキュリティ担当者は「問題が起こらない」ようにするのが仕事です。幸運なことにアステラスではこれまで、OTセキュリティインシデントは発生していません。そのため、OTセキュリティ対策を講じたことにより、現場が「手間が増えた」「生産性が阻害されている」と感じてしまえば、社内の理解が得られにくくなります。
上村:
組織の意識改革には、時間と根気が必要ですよね。「セキュリティインシデントは発生しないことがベスト」ですから、多くの企業は「発生しないもののためにどのくらいのコストをかけるのか」といった問題に、解を見つけられていないのが実情です。OTセキュリティの文化を社内に浸透させていくために、アステラスはどのような取り組みをされていますか。
上杉:
現場とOTセキュリティ担当者が一堂に会するミーティングを定期的に行っています。現場からの参加者は、工場や研究所で実務に当たるメンバーからマネジメント層までさまざまです。この場でOTセキュリティに関する意見交換をしながら、アステラスにふさわしいセキュリティ施策を探っています。
上村:
現場とセキュリティ担当とのコミュニケーションに難しさは付き物ですが、アステラスの場合は、コミュニケーションを通して現場からのフィードバックを得て、それをセキュリティ対策に生かしているのですね。こうした流れが、有機的な組織を作り上げる基礎になるのだと感じます。
最終的には、OTセキュリティリスクをどのような状態で管理することをゴールにされていますか。
上杉:
アステラスが目指すOTセキュリティの理想型は、技術を活用したセキュリティマネジメントを継続的に運用し、セキュアな環境で業務を滞りなく遂行することです。そして、万が一インシデントが起きても迅速に復旧できる体制を構築し、研究や製品生産活動が意図どおりに実施できる状態を維持することがゴールだと考えています。
実際には取り組みもまだまだ発展途上で、手探りの状態です。セキュリティ対策においては、バランスが大事だと言われます。「組織としてどの程度の対策を目指すのか」「現場にどのくらいの負担をかけるのか」「会社としてどれだけ投資するのか」といったことを考え、落としどころを慎重に見極めなくてはなりません。
上村:
最後に、今後の展望をお聞かせください。
上杉:
今後は新たなモダリティ(治療手段)を活用して開発した薬剤が新薬として承認されるようになります。これらを市場にいち早くかつ安定的に供給できるよう、製薬技術本部としては、あらゆる未来を見据え、柔軟に対応できるような組織を作っていきたいです。アステラスは企業戦略として、早い段階から生産を見据えて研究・開発する方針を打ち出しています。これを具現化するには、組織を越えた部門横断的な協力が不可欠です。企業内のコラボレーションが促進され、組織間の連携向上が期待される中で、アステラス全体のセキュリティ向上に貢献したいと考えています。
また、リテラシー向上やセキュリティ文化の醸成・浸透にも注力していく計画です。ガバナンスの確立から着手し、教育や啓発の機会も増やしていきたいですね。短期的な成果も重要ですが、中長期的な視点に立脚したOTセキュリティの実現も目指していきたいです。
上村:
強固なOTセキュリティを実現するには、複数の部門がコラボレーションをしていく必要があります。「OTセキュリティは、最終的に自社のビジネスを成長させるものである」と理解すること。この考えを組織にいかに浸透させていくかが、企業の成功要因であると言えそうですね。本日はありがとうございました。
デジタル化する工場のサイバーセキュリティ
6 results
Loading...
「デジタル化する工場のサイバーセキュリティ」ATT&CK for ICSを利用した攻撃者視点のOTセキュリティ評価
攻撃者の視点からOTセキュリティを評価することの必要性と、評価する際の留意点、評価に役立つ参考資料としてATT&CK for ICSを紹介します。
「デジタル化する工場のサイバーセキュリティ」工場(OT)領域におけるセキュリティ人材
OT環境のセキュリティ確保を行う上で、セキュリティ管理の推進や実行を担う人材の確保は重要な論点です。OT環境のセキュリティ確保に必要な人材要件と、そうした人材の獲得戦略について解説します。
「デジタル化する工場のサイバーセキュリティ」工場(OT)環境におけるセキュリティアーキテクチャのリファレンスモデル化の重要性
工場の数が多く、かつ事業の異なる工場を持つ企業がセキュリティ対策を早く確実に実装することは容易ではありません。この課題を解決するための重要施策として、セキュリティアーキテクチャの実装・運用におけるリファレンスモデルの活用を紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(1)中国・台湾
各国サイバーセキュリティ法令・政策動向シリーズの第1回目として、中国(大陸)および台湾のデジタル政府化の取り組みやセキュリティ法規制について、最新情報を解説します。
Loading...
