参天製薬原氏が語る制御セキュリティ推進の取り組み(後編)

制御システムにおけるリスクアセスメントの成果

参天製薬株式会社 情報システム本部のグローバル情報セキュリティ&ガバナンス室で室長を務める原 実氏を招き、同社における工場セキュリティの取り組みになどについて話を聞く本鼎談。後編では、工場で稼働する制御システムのリスクアセスメントや、新事業への展望を語っていただきました。

対談者

原 実(はら みのり)
参天製薬株式会社 情報システム本部
グローバル情報セキュリティ&ガバナンス室長

PwCコンサルティング合同会社
デジタルトラストパートナー 林 和洋(写真左)
PwCコンサルティング合同会社
デジタルトラストディレクター 藤田 恭史(写真右)

リスクアセスメントで課題を可視化

藤田:
参天製薬は、製品供給の事業継続性向上に取り組んでいらっしゃいます。取り組みを始めたきっかけを教えてください。

原:
グローバルでのビジネスの拡大などを背景に、参天製薬のビジネスの根幹を支えているのは何かを考えた場合、「製品供給」が優先ドメインの一つであると認識し、2018年の初頭から大規模な事業リスクアセスメントを実施しました。

もちろん、事業継続性のリスク管理は、以前から取り組んでいました。しかしながら、今後はOT(Operational Technology)側――工場の制御システム――でもサイバーセキュリティの脅威を想定したシナリオが必要になります。ですから、自社の工場だけでなく、国内外の物流パートナーの事業継続性も含めた取り組みが必要であるとの結論に至ったのです。

林:
実際に事業継続におけるリスクアセスメントを実施して、どのようなことが判明しましたか。

原:
まったくの想定外という結果が出た印象はありません。日頃から「対策が足りていないのでは?」と感じていた部分は(アセスメントの)リスクスコアが高かったですし、きちんと対策を講じている部分はリスクスコアが低い結果でした。

アセスメントの一番の成果は、課題を網羅的に可視化できたことです。アセスメントの結果から「対策が足りていないリスクが“高い”部分はどうすれば“低く”なるのか」を議論できる土台が整いました。

工場の担当者にとっては、セキュリティの重要性を理屈で理解していても、実際の判断材料がないと、その内容が腹落ちしにくいのですね。ですから、リスクアセスメントの結果を「説得力のある客観的な指標」とし、取り組むべき課題を全員で共有できたことは大きな収穫でした。

藤田:
具体的にOTならではの気づきはありましたか。

原:
工場で働く管理職ならびに従業員に対して、セキュリティ観点のリスクが可視化され、なんとなく理解していた課題や改善ポイントが明確になったことです。また、直接情報システム部門としてかかわってこなかったOT領域の「設備」「工程」「文書整備」「役割分担」といった具体的な内容と、それらの課題が把握でき、情報システム部門としてどのような支援が必要なのかを理解できました。改善しないといけないタスクの内、セキュリティポリシーを強化するといった対策よりも時間をかけて実施した甲斐がありましたね。

林:
工場では作業員の動作確認も重要なセキュリティ対策の一つです。

原:
セキュリティ対策は「特定のソリューションを導入すること」と考えがちですが、それだけではありません。既存の作業プロセスを正しく実行することも、重要なセキュリティ対策だと考えています。

もちろん、技術的に改善が必要で、特定機能に特化したソリューションが必要な場所もたくさんあります。こうした部分は、工場の担当者だけでなく、情報システム部門が関与し、最適なものを導入するようにしています。

 

ITとOTの融合で高まるセキュリティリスク

藤田:
前編では「IT(Information Technology)とOTでは異なるセキュリティ管理が必要」とのお話がありました。具体的にはどのような管理の違いがあるのでしょうか。

原:
ITのセキュリティ対策は、サイバー攻撃や不正アクセスを防ぎ、情報漏洩を阻止することです。つまり、守るべき対象は「機密性」が第一と考えられています。

一方、OTの守るべき対象は「可用性」と「完全性」です。事業継続性の最重要項目は、「計画通りに製品を製造し、製品を遅延なくお客様に届けること」です。ですから相互運用性(インターオペラビリティ)、インテグリティ(記録の完全性)、製品の信頼性など、さまざまなシステムやデータに気を配る必要があります。

医薬品という、人の命や健康に関わる製品を製造する製薬企業には、GMP、GVP、GPSP、GQP、GLP、GCP(※2)などの厳しい基準の遵守が義務づけられています。ITやOTを含む技術の進歩、社会情勢の変化など、医薬品を取り巻く環境が時代とともに変化する中で、求められる薬を確実に提供し続けるためには、製品の品質および有効性や安全性を、製品に関わる各部門が連携・協働して築いていくことが大切だと考えます。情報システム本部として、直接関与できない部分もありますので、難しい課題です。

林:
ITとOT間でデータの共有やシステムと運用の連携が進めば、OT側のセキュリティ対策が求められますね。

原:
今回のリスクアセスメントでは、製品供給の事業継続性を“特別扱い”しました。具体的に言うと、現在のOT環境は本質的にIT環境とはセキュリティ要件が全く異なることを前提とし、セキュリティゾーンを分離しました。また、運用責任範囲を厳密に定義して、OT環境に特化したセキュリティポリシーを定義することにより、セキュリティ改善策の導入を加速化するという手法を取りました。しかしながら、今後ITとOTの連携が進むと、OT側だけを特別扱いしてもリスクは低減できません。現在、OT側で取り組んでいる防御方法では、リスク対策として通用しなくなる時代がすぐに到来します。

特に今後は、工場のスマートファクトリー化も視野に入れる必要があります。そうなれば、企業全体としてITとOTを網羅する、包括的なセキュリティ対策を実施する必要があると考えています。

藤田:
「OT側でもサイバー攻撃を想定したセキュリティ対策が必要である」ということを、経営層は理解していますか。

原:
OTは事業継続性の根幹を担っています。ですから、サイバーセキュリティのインシデントが発生し、それが製品供給に関係する装置やプロセスに影響を与えた場合には、「どのようなビジネス上の被害が発生するのか」といったことは、折に触れて経営層に説明をしています。

具体的には、実際に起こりうる被害について複数のシナリオをシミュレーションし、サイバー攻撃のインシデントが引き起こすビジネス上のマイナスの影響を算出したうえで、それを経営層に提示しています。

※2 Good Manufacturing Practiceの略。医薬品および医薬部外品の製造管理および品質管理に関する基準。
Good Vigilance Practiceの略。医薬品、医薬部外品、化粧品および医療機器の製造販売後安全管理の基準。
Good Post-marketing Study Practiceの略。医薬品の製造販売後の調査および試験の実施の基準。
Good Quality Practiceの略。医薬品、医薬部外品、化粧品および医療機器の品質管理の基準。
Good Laboratory Practiceの略。医薬品の安全性に関する非臨床試験の実施の基準。
Good Clinical Practiceの略。医薬品の臨床試験の実施の基準。

パートナー企業とのセキュリティ対策にも気を配る

藤田:
物流パートナーのリスクアセスメントについて教えてください。パートナー企業に対してセキュリティアセスメントを実施することには難しさもあるのではないでしょうか。

原:
サプライチェーンは、自社の設備だけで完結しているわけではありません。サプライチェーンパートナーが攻撃されて(原材料などの)供給が断たれた場合、顧客への製品供給が滞ってしまいます。このようなことがないよう、パートナーのリスクアセスメントが必要なのです。

パートナーのシステム構成などを深掘りしなくても、ヒアリングや既存契約書を確認することで、アセスメントは可能です。現在はPwCの支援を受けながら、一部の主要物流パートナー企業と共同でリスクアセスメントを実施しています。

林:
パートナー企業の協力はスムーズに得られますか。ビジネス上で「やりにくい」と感じる部分はありませんか。

原:
それは心配していません。これは製薬業界ならでは特徴かもしれませんが、製薬企業に何かを納品しているサプライヤーに対しては、情報開示をお願いする場合があります。

契約(コントラクト)を明確にして、責任の所在を双方で確認する作業は、製薬業界では当たり前です。さらに、導入しているソフトウエアの開発元に対しても、(システムの脆弱性診断など)標準化したセキュリティ監査を実施する方向で対策が進んでいます。

ただし、データ連携が複雑化すると、企業同士の関係性も複雑になるでしょう。きちんと対応できるように準備をしなければなりません。

目の健康を通じて日常生活の質向上に貢献する企業を目指す

藤田:
最後に今後の展望を聞かせてください。デジタル技術の革新が進み、テクノロジー企業やデータプラットフォーム企業等、異業種との協業が増えると、将来はどのような変化が起こるとお考えですか。

原:
まず考えなければいけないのは、参天製薬が、これまで以上に人々の目の健康に貢献するためには、現状の医療制度や医療システムにも働きかけ、眼科医療のエコシステム全体の在り方を変えなければいけない可能性があるということです。加えて、デジタル技術に関わるこれまでとは異なるプレーヤーが、製薬業界のエコシステムに参入してくるようになると、異業種との協業で新サービスを展開することも増えるでしょう。

そうなれば、参天製薬もこれまでの「点眼薬や新たな治療技術を開発・販売」というビジネスモデルだけではなく、「疾患に関する知識の啓発」、「目の健康チェック」、「服薬コンプライアンスの向上」、「遠隔医療」や「疾患再発防止」といった、人々の生活に根差した新領域でのサービスを提供したり、価値を提供したりする機会が増えていくようになると考えています。

例えば、スマホのアプリを利用し、家庭で正しく点眼薬を使っているかを自己診断するアプリケーションの開発などもあるでしょう。ビッグデータやAR等を活用した高度な遠隔画像診断や治療も進んできたり、また身近なところでは、日々の健康チェックから潜在的な患者を発見し、早期治療を促すといったサービスも可能になります。

林:
日常生活の中に「目の健康をチェックする習慣」が定着するような未来ですね。

原:
はい。参天製薬はお客様にとって、「目の健康を通じて日常生活の質向上に貢献する企業」であることを目指しています。

※法人名、役職、インタビューの内容などは掲載当時のものです。

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

藤田 恭史

ディレクター, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}