グローバル且つ機微な情報を扱う製薬企業のIT資産を保護する Microsoft のサイバーセキュリティ
Executive Summary
- 製薬企業は創薬、製造、営業など彼らのビジネスの多くのシナリオで DX を推進しています。
- DX の推進にあたっては、外部とのタッチポイントを増やすことが重要となるため、これまでの境界型セキュリティでは悪意のあるアクセスに対する脅威が高まります。
- マイクロソフトは、サイバーキルチェーン全体を保護する包括的なセキュリティスイートを提供し、お客様の IT 資産を保護します。
- 参天製薬株式会社様、アステラス製薬株式会社様では複数のマイクロソフトのセキュリティサービスを組み合わせてグローバルなビジネスを安全に推進する仕組みを実装しています。
1. 製薬企業のビジネスモデル全体へ DX が拡大
昨今、製薬企業はビジネス全体へと DX を拡大させると同時にそれが必要不可欠となっています。
創薬の観点では、2021年9月に厚生労働省が策定した医薬品産業ビジョン 2021 において、「革新的創薬」が今後の重要な産業政策の柱の 1 つとして位置づけられました [1]。「革新的創薬」とは、アンメット・メディカル・ニーズを充足させるためのより高度な研究開発のことを指します。よって、今後はゲノムの医療情報基盤や AI 創薬等、デジタルテクノロジーが極めて重要な役割を担っていくと予想されます。また、内閣府が同年 6 月に発表したバイオ戦略フォローアップでは、今後益々拡大すると予測されるバイオ関連市場の 1 つの要素として健康・医療が挙げられました [2]。バイオ医薬・再生医療・細胞医療、遺伝子治療関連産業は国内外で 2030 年には約 60 兆円に上ると予測されています。本領域でも、バイオバンクを連携・発展させた大規模なデータ分析基盤が必要とされ、デジタルテクノロジーの重要性が高まっています。
製造の観点では、薬価改定が従前の 2 年に 1 度の間隔から、2021 年より薬価の中間年改定が導入され、毎年見直されることとなりました。これにより、製薬企業はよりコストの最小化を意識しなければならなくなったと考えます。製造に係るコストもその 1 つの要素です。デジタルテクノロジーは、製造現場の DX を推進することで作業効率化を実現し、コスト最適化に貢献する 1 つの手段となると考えます。
営業の観点では、MR (医療情報担当者) の働き方の変化と DX が密接に関わっています。2013 年をピークに国内の MR の数が減少傾向にあり、1.4 万人程減少しています [3]。また、新型コロナウイルスの流行により、医療機関への直接訪問が制限されました。これらの要因から、MR のオンライン会議システムを用いたリモート面談を取り入れる製薬企業が増えています。
2. DX を加速させると共にサイバーセキュリティの重要性も高まる
先に記述したように、製薬企業の DX は組織横断的に展開されています。DX の推進にあたっては、外部とのタッチポイントを増やすことが重要となるので、これまでの境界型セキュリティでは悪意のあるアクセスに対する脅威が高まります。
Microsoft は 2022 年 11 月に Microsoft Digital Defense Report 2022 を公開いたしました [4]。本レポートは、Microsoft が収集する約 43 兆のセキュリティシグナルを分析したものですが、ランサムウェアの被害が多い業界として、製造業とヘルスケアが挙げられています。これらの業界では、特に機微な情報を取り扱うため、ランサムウェアで身代金を入手しやすいと考えられるためです。また、Fortinet 社によると、調査した製薬企業の 93% は少なくとも一回の脅威の侵入を経験しています [5]。製薬会社は他の業界と比較して大学、製造施設、病院などエコシステムが複雑であり、セキュリティ対策の難易度が高いとされています。さらに、英国サイバーセキュリティ情報保証局によると、製薬業界は世界中で知的財産 (IP) サイバー盗難によって 140 億ドルの損失を被っているとされています [6]。
以上のように厳しい法規制の中、複雑且つグローバルなエコシステムの中で機微な情報を扱う製薬企業にとってサイバーセキュリティ対策は優先して取り組むべき課題であるとわれわれは考えます。
3. サイバーセキュリティの強度を高めるための提言
前述したように、ランサムウェア、DDoS 攻撃、クロスサイトスクリプティング、SQL インジェクションなど、機微な IT 資産を所有する全ての製薬企業にとって現在非常に多くの脅威が蔓延しています。Microsoft は、クライアント環境、クラウド上の IT 資産を含むハイブリットな IT 環境のサイバーセキュリティサービスをワンストップで提供することが可能です。
Microsoft はクライアント向けサービスとして、Microsoft 365 というスイート製品を提供しています。本スイート製品には、クラウド型 Office である Office 365 に加えて、Microsoft 365 E5 Security というサービスが含まれています。Microsoft 365 E5 Security は標的型の攻撃を仕掛ける攻撃者の行動プロセスであるサイバーキルチェーン全体の保護をする機能を提供します。Microsoft 365 E5 Security には Microsoft Defender for Office 365、Microsoft Defender for Endpoint、Azure Active Directory Premium P2、Microsoft Defender for Cloud Apps、Microsoft Defender for Identity という 5 つのサービスが含まれます。以下の図に 5 つのサービスが相互にどのように関連しているか示したものになります。それぞれのサービスの概要をご説明いたします。
Microsoft Defender for Office 365 は、悪意のある添付ファイルやリンクを含むメールに対して、基本的なスプーフィング対策からより高度なコンテンツ分析、調査の自動化等を実施する機能を提供します。サイバーキルチェーン保護の入口を担うサービスです。
Microsoft Defender for Endpoint は、ユーザーが使用するデバイスの予防的な保護や振る舞い検知の機能を提供します。仮にメールの悪質なコンテンツにアクセスし、端末がウイルスに感染したとしても、脅威の行動を自動調査や修復することが可能です。
Azure Active Directory Premium P2 は、Identity ProtectionとIdentity Governance の大きく 2 つの機能を提供します。Identity Protection では、匿名 IP アドレスの利用や特殊な移動(日本からアクセスした 2 分後に同一ユーザーがイタリアからアクセスしている等)といったリスクを排除する条件付きアクセスが可能となります。Identity Governance では、適切なアカウントに適切な特権を適切な期間のみ付与するような特権アクセス管理等を提供します。
Microsoft Defender for Identity は、万が一デバイス侵害やクラウド側の ID 侵害された後にオンプレミス Active Directory の資格情報に対する不審な挙動を可視化するサービスです。認証トラフィックのキャプチャと分析をすることで攻撃者による不正なアクティビティを検知します。また、クラウド上にログデータを集約し本サービス以外のデータと照らし合わせて相関分析をして攻撃全体の把握に繋げることも可能です。
Microsoft Defender for Cloud Apps は、特権 ID を攻撃者が保有し、クラウドアプリの利用まで到達してしまった際に活躍するサービスです。API 接続されたクラウドサービス上のユーザーの行動を監視して脅威を判定することや機密情報の公開範囲を自動で分類し保護します。
以上のように、脅威がクライアント環境で侵入する入口からクラウドサービスに到達するまで一貫して Microsoft 365 E5 Security を活用することで行動を可視化、迅速な対応を可能とします。
一方で、各種業務システム等、企業が保有する IT 資産を Azure 上で保護するサービスも幅広く展開しています。今回はその中で、Microsoft Sentinel というクラウド型の次世代セキュリティ運用基盤サービスについてご紹介いたします。Microsoft Sentinel には、セキュリティイベント、アラート情報を集めて、分析をする SIEM (Security Information & Event Management)、インシデントが発生した場合、脅威への対応を自動化する SOAR (Security Orchestration, Automation & Response)、そしてユーザーの振る舞いを分析・検知する UEBA (User Entity Behavior Analytics) の大きく 3 つの機能を提供します。
また、幅広いデータソースに対応していることも特徴の 1 つです。Azure は勿論のこと、オンプレミスサーバー、他社クラウド、サードパーティセキュリティソリューション等のデータを分析することが可能です。
以上のように Microsoft はクライアント環境、クラウド上の業務システム等を含む製薬企業の IT 資産を包括的に高いレベルのセキュリティサービスで保護し、そり迅速に脅威に対して対策を講じる基盤を提供しています。
4. Microsoft のサービスを使った高度なセキュリティの実現例
最後に、前述した Microsoft のサービスを利用して高度なサイバーセキュリティを実装されているお客様を 2 社ご紹介いたします。
1 社目は参天製薬株式会社様です [8]。グローバル化や事業領域の拡大に伴って、社会とのタッチポイントは増加し、セキュリティリスクや防衛すべきラインが拡張し続けること、パンデミックをきっかけに、時代の流れに合った新しい働き方を推進する必要があることが同社のセキュリティ戦略を根本的に見直すききっかけとなりました。そしてグローバル基準のセキュリティ ポリシーの策定と、それに準拠しながら、状況に合わせて柔軟な運用が可能なテクノロジーの導入を推進するため、Microsoft 365 E5 Security をプラットフォームとして採用することを決定しました。グローバルの情報セキュリティ責任者である Elif Apaydin 氏は、Microsoft 365 E5 Security 導入を含む情報セキュリティ施策の 5 か年計画によって事業継続計画 (BCP) と新たなサイバーリスクへの柔軟で適切な対応を成し遂げたいとコメントしています。Microsoft は長期的に参天製薬様のビジョンに根差したご支援を続けて参ります。
2 社目はアステラス製薬株式会社様です [9]。同社が最も重要視しているのは、医薬品の安定供給であり、サイバーセキュリティはリスク管理上の重要項目の 1 つとして認識されています。以前より、オンプレミス型の SIEM サービスを利用されていましたが、地域ごとの運用が必要で有事の際にコミュニケーションに時間がかかること、新たに導入する SIEM の運用面を考えたときに、オンプレミスのままだとデータ移行の手間やサーバー設置場所の選定などの作業に時間がかかることなどの課題がありました。2021 年 4 月よりMicrosoft Sentinel を導入され、24 時間 365 日、世界中の拠点を網羅して SOC 監視を行えるプロセスやその運用体制の成熟に手応えを感じられています。より高度化するために、SOAR の機能実装を進めていきたいという旨のコメントもいただいています。
時流に合わせた経営方針の転換やグローバルで統一したセキュリティ・ガバナンス体制の構築など、お客様ごとの様々な状況に対応し得るサービスを Microsoft は展開しております。これからもお客様の DX 推進と共に、サイバーセキュリティ強化をご支援して参ります。
2023 年 3 月 7 日に、弊社のセキュリティ関連のイベントとして Security Forum 2023 Online が開催されます。社外の有識者の方々、マイクロソフトのセキュリティチームのメンバーから幅広いテーマで情報提供させていただく予定です。以下のリンクからお申込みをお待ちしております。
Security Forum 2023 Online 2023 年 3 月 7 日開催 (microsoft.com)
5. 関連製品
- Microsoft 365 E5 Security, https://www.microsoft.com/ja-jp/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing
- Microsoft Defender for Office 365, https://learn.microsoft.com/ja-jp/microsoft-365/security/office-365-security/microsoft-defender-for-office-365-product-overview?view=o365-worldwide
- Microsoft Defender for Endpoint, https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide
- Azure Active Directory, https://learn.microsoft.com/ja-jp/azure/security/fundamentals/identity-management-overview
- Microsoft Defender for Cloud Apps, https://learn.microsoft.com/ja-jp/defender-cloud-apps/what-is-defender-for-cloud-apps
- Microsoft Defender for Identity, https://learn.microsoft.com/ja-jp/defender-for-identity/what-is
- Microsoft Sentinel, https://learn.microsoft.com/ja-jp/azure/sentinel/overview
6. 参考文献
- 医薬品産業ビジョン 2021, https://www.mhlw.go.jp/content/10800000/000831973.pdf
- バイオ戦略フォローアップ, https://www8.cao.go.jp/cstp/bio/bio_fu_honbun.pdf
- 2022 年版 MR 白書 -MR の実態および教育研修の調査-, https://www.mre.or.jp/files/co/page/attachment221201/mre_info/Investigation/whitepaper/2022/2022hakusyo-1-6.pdf
- Microsoft Digital Defense Report 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv?culture=en-us&country=us
- Fortinet 2021 年製薬業界の現状とサイバーセキュリティレポート, https://www.fortinet.com/content/dam/fortinet/assets/white-papers/ja_jp/report-2021-state-of-pharmaceuticals-and-cybersecurity.pdf
- 10 Ways Covid-19 Vaccine Supply Chains Need To Be Protected By Cybersecurity, https://www.forbes.com/sites/louiscolumbus/2021/01/24/10-ways-covid-19-vaccine-supply-chains-need-to-be-protected-by-cybersecurity/?sh=13b1bc8526c2
- PwC 【サイバーインテリジェンス】DX が加速する製薬業界で製造現場が直面するセキュリティ強化の難題, https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/cyber-intelligence08.html
- Microsoft Customer Story-参天製薬 CDIO は語る「事業継続のためのセキュリティ対策は経営課題」, https://customers.microsoft.com/ja-jp/story/1529382881358781109-santen-pharmaceutical-pharmaceuticals-microsoft-365-ja-japan
- 「薬を待つ人たちのために」 Microsoft Sentinel でグローバル規模のセキュリティ対策を実現したアステラス製薬, https://customers.microsoft.com/ja-jp/story/1512995024942019025-astellas-pharmaceuticals-azure-ja-japan