メディカル・ヘルスケア領域でのサイバーセキュリティヘルスケアサプライチェーンを脅かすセキュリティリスクへの対応

ヘルスケアサプライチェーンを巡っては、サプライチェーン自体の複雑化や新型コロナウイルス感染症（COVID-19）拡大により、混乱に見舞われるケースが近年見受けられます。こうした中、医療供給体制の確保に対する要請は一層強まっており、多くのヘルスケア企業が事業継続計画（BCP）の見直しなどを通じて、自社のリスクマネジメントの強化を図っています。

では、セキュリティリスクが自社のサプライチェーンにもたらす影響や対応策の検討は、これまでに十分に行われているでしょうか。自社のセキュリティ管理については一定のリソースをかけて実施していても、サプライヤーにおけるセキュリティの管理状況までは把握・管理できていないという事例は、まだ多く見られます。悪意のある第三者がサプライヤーの脆弱性を利用してシステム環境に侵入し、「踏み台」にしてターゲット企業のシステム環境から情報を搾取したり、システム停止を引き起こしたりする事案が急増しています。このことから、各企業はセキュリティ対策をサプライヤー任せにせず、サプライチェーン全体のセキュリティ確保を主導することが、ヘルスケア企業にとって重要と言えます。本稿ではセキュリティリスクの観点から、レジリエントなサプライチェーンの確立に向けて企業に求められる取り組みを考察します。

COVID-19ワクチン開発で迫り来るサプライチェーンへの攻撃

まずは最近の事象を参考に、セキュリティリスクがヘルスケア企業のサプライチェーンをどのように脅かすかを確認します。着目すべきものの一つに、COVID-19ワクチンの開発に取り組む製薬企業およびビジネスパートナーを狙ったサイバー攻撃が挙げられます。ワクチン開発着手の情報が公になった直後から、複雑なヘルスケアサプライチェーンの隙を狙った不正侵入が試行され始めました。その中でも目立ったのは、ワクチン輸送において極めて重要なコールドチェーンを標的とした攻撃です。攻撃者が海外バイオ企業の従業員になりすましてコールドチェーン関連企業にフィッシングメールを送ったケースも判明しています*1。攻撃の成否は公表されていませんが、ひとたびサプライヤーのシステム環境への侵入を許してしまえば、そこで管理されている機密情報の不正入手や物流停止を狙ったアクションの機会を攻撃者に与えることになります。ヘルスケア企業においては、残念ながら全ての関連企業が高いセキュリティ管理態勢を有しているとは言えないことを念頭に置いた上で、セキュリティ対策を検討する必要があると言えます。

サプライチェーン保護のために求められる3つのセキュリティ対策

では、上述したようなサイバー攻撃の被害を防止または影響を最小化するために、企業には何が求められるのでしょうか。実施すべき代表的な取り組みを紹介します。

1. セキュリティアセスメントの実施

サプライヤーの選定時および契約期間中に、サプライヤーにおけるセキュリティ対策状況を評価し、機密情報の管理や重要なビジネスオペレーションをセキュアに実施できる環境を整備しているかどうかを確認します。アセスメントの結果を各ビジネスオーナーに共有し、想定されるリスクや影響、許容可否（ビジネス判断を含む）、代替策などについて合意しておくことが求められます。

2. サプライヤーとの接続点の確認

自社のネットワークにアクセスするサプライヤーについて、アクセス権限の内容や強度が業務上、適切な範囲に限定されていることをあらためて確認する必要があります。例えば、サプライヤーが許可されていないリモートアクセスを行っていないか、すでに契約が終了したサプライヤーに不必要なアクセス権限を残したままにしていないかの確認が含まれます。

3. セキュリティインシデント発生時の対応計画の策定

インシデント発生時のステークホルダーの役割や責任、コミュニケーションフローをあらかじめ定め、有事の際に迅速な行動を取ることができるように準備しておくことが肝要です。サプライヤーとコミュニケーションをとる際の窓口の設置やサイバー攻撃訓練の実施など、サプライチェーンを構成する企業を含めて検討することが重要です。

組織横断的な管理体制の構築が必要

一般的な「セキュリティ」のイメージからサプライチェーンのセキュリティ対策を考えると、その対象は、情報システムの開発・運用業務を担うサプライヤーが中心になりがちです。しかし、本稿で紹介した事例にも見られるように、サプライチェーン全体を見渡せばさまざまな箇所にセキュリティリスクが潜んでいることが分かります。攻撃者は組織のシステム環境に対する偵察行為をとおして、侵入できるポイントを常に探しています。ヘルスケア企業は、サプライチェーン全体に視野を広げた時に、各ステークホルダーがセキュリティへの正しい理解のもと、適切な対策を講じているという状態を確実にすることが求められます。

上述した代表的な3つの取り組みには、ビジネス上の意思決定も含まれることから、IT部門をはじめ、セキュリティ対策を司る部門のみで完結できるものではありません。例えば、アセスメントの結果からセキュリティリスクが高いサプライヤーの存在が明らかになったとします。一方で、当該サプライヤーが有するアセットが自社のビジネスに重要な意味を持つ場合、セキュリティリスク対応方針の決定には、ビジネス上の意思決定を行うことができる人物の関与が必要となります。また、いずれの取り組みも各サプライヤーとのコミュニケーションを要するため、調達部門との連携も想定されます。セキュリティの知識を有するIT・セキュリティスタッフと各部門の適切なコラボレーションのもと、ビジネスとセキュリティの両面から、競争力の強化に必要なサプライチェーンをセキュアに構築することが求められます。