セキュリティ担当者が夜しっかり眠れる運用体制とは？――守りのDXで攻めのDXを支えるアステラス製薬の取り組み：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

企業がより多くの価値を顧客に届けるには「攻めのDX」が不可欠だが、そこで扱うさまざまなデータやデジタル資産を守るサイバーセキュリティ施策も必要だ。そうした「守りのDX」を徹底しても、セキュリティ担当者が疲弊しないためにはどうすればいいのだろうか。

[高橋睦美，ITmedia]

　企業がより多くの価値を顧客に届けるには「攻めのDX」が不可欠だが、そこで扱うさまざまなデータやデジタル資産を守るサイバーセキュリティ施策も必要だ。ただ、そうした「守りのDX」を自力で徹底しようとして、セキュリティ担当者が疲弊しては元も子もない。

　「「守りのDX」は「攻めのDX」推進のため。アステラス製薬のセキュリティ担当者がしっかり眠れる取組みの紹介」と題する基調講演において、アステラス製薬で情報システム部長を務める須田真也氏が、押さえるべきところを押さえつつ、うまく外部のパートナーの力を借りながら「夜にしっかり眠れる」同社ならではのサイバーセキュリティの実践方法を紹介した。

製薬業界は情報産業、攻めのDXを支える守りのDXも推進

アステラス製薬 情報システム部長 須田真也氏

　山之内製薬と藤沢薬品の合併によって2005年に発足したアステラス製薬は、日本だけでなく世界70以上の国と地域で事業を展開してきた。医療用医薬品の中でも新薬の開発に特化した研究開発型の製薬会社で、年間で約1兆3000億円の売り上げを上げている。

　そんな同社が掲げるビジョンは「変化する医療の最先端に立ち、科学の進歩を患者さんの『価値』に変える」ことだ。医療用医薬品の開発・製造にとどまらず、その枠を超えて患者に「価値」をもたらす医療ソリューションの創出を目指している。

　ここで重要な鍵を握るのがデジタルトランスフォーメーション（DX）だ。中期経営計画「経営計画2021」で掲げるさまざまな目標を達成する要の1つとしてDXを捉え、デジタル革新を通して自身を「インテリジェント・エンタープライズ」へと変えていこうとしている。

　計画実現に向けたアプローチの1つは、デジタルとデータがもたらす「レバー」（価値の源泉）に、アステラス製薬が蓄積してきたサイエンスの知見を組み合わせることでDXを推進していくこと。そしてもう1つ大事にしていることは、人とデジタルをベストな形で組み合わせることだ。「DXだからといってデジタル一辺倒ではなく、デジタルでできることはデジタルで徹底的にやりつつ、人が得意なことは人が徹底的にやり、全体として最大のパフォーマンスを出すことを目指しています」（須田氏）

　医薬品の製造においては、創薬・開発、製造、販売からライフサイクルマネジメントに至るまで、一連のプロセス全てにおいて非常に膨大なデータを扱うことになる。「このバリューチェーン全体の中で、大きなデータを扱わずにできる業務はありません。その意味で、製薬業界は情報産業であると言えます」（須田氏）

　この膨大なデータを信頼できるものとして扱い、必要に応じて共有するには、「安心してデータを共有、活用するための情報セキュリティ」が整っていることが大前提だ。そこで同社は、患者の「価値」を最大化するための攻めのDXと同時に、それを支える守りのDXを表裏一体で進めている。

うまく外部の専門家の力を借りながら、担当者が「眠れる」セキュリティ運用を実現

　しばしば情報セキュリティの世界では、「物理的対策、人的対策、組織的対策」という3つの要素にバランスよく取り組んでいくこと、そして「機密性、完全性、可用性」に加え「責任追跡性、真正性、信頼性」も加えた六要素が重要だといわれる。アステラス製薬もこうした要素を重視して対策に取り組んでいる。

　例えば機密性が損なわれ、個人情報が悪用されることも重大な事態だが、もし営業秘密の流出によって偽薬が作られて流通すれば、それを用いた患者が大きな不利益を被る。また研究開発時に得られるデータの完全性が損なわれ、不正なデータを元に医薬品が作られればこれも当然患者の不利益になるし、可用性が損なわれて医薬品の製造・流通に支障が生じれば、やはり患者にとって直接的なダメージとなるだろう。

　「セキュリティインシデントは会社にとっても大きなダメージになります。なぜ会社にとって大きなダメージになるかというと、患者さんの不利益につながるからです。製薬会社にとって、情報セキュリティを守ることは患者さんを守ることだと全員が認識して取り組んでいます」（須田氏）

　こうした考え方に基づいてアステラス製薬では、世界約70カ国にまたがる事業体制の中で、1つの統合されたサイバーセキュリティ・情報セキュリティ運営体制を整備してきた。情報システム部はもちろん、コーポレートリスクマネジメント、コンプライアンス、法務といった各部署に加え、研究拠点や生産拠点におけるOTセキュリティを担うリサーチやファーマテクノロジー（製薬技術本部）、そして調達・サードパーティーのセキュリティを守るプロキュアメント、データガバナンスを担うアドバンストインフォマティクス＆アナリティクスといった複数の部門にまたがり、一体となってサイバーセキュリティを運営している。

　ただ、「アステラス製薬は製薬会社であり、情報セキュリティやサイバーセキュリティの専門家ではありません。そのため、外部委託や協力会社の専門家の力を借りてセキュリティを運用しています」と須田氏は述べた。

　具体的には、専門的な知見を要する脅威情報の分析・評価のほか、日常的なセキュリティ運用、インシデント解析といった業務を外部のSOCに委託している。何かアラートが発生した際には、SOCからアステラス製薬の担当者に、初期対応の承認を取るべく連絡が入る形だが、「グローバルで誰か1人が常に承認しなければならないとなると、その人はゆっくり眠れません。そこで、日米欧のサイバーセキュリティに関する責任者が、時間帯に応じて一次対応の意思決定を下す体制を整えています」と同氏は説明した。

　また、外部委託を活用しながらセキュリティを運用するに当たって、いくつか留意しているポイントがあるという。

　1つは、IDS/IPSやプロキシ、ファイアウォール、エンドポイントでのEDRによるマルウェア監視、SIEMによる監視に至るまで、グローバル共通のソリューションを導入していることだ。「全社レベルで整合性のある形で可視性を上げ、初動の速さやデータ分析精度の向上に取り組んでいます」（須田氏）。オペレーションをシンプル化し、さらに自動化を推進することで、検知から初動対応までのさらなる時間短縮を目指しているという。