セキュリティ担当者が夜しっかり眠れる運用体制とは？――守りのDXで攻めのDXを支えるアステラス製薬の取り組み：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　もう1つは、初動対応ルールの明確化だ。SOCで何かを発見してからアステラス製薬側に連絡を取り、承認を取ってから対応していると、その間に事態が進展してしまう恐れがある。そこで、「こういった条件がそろった場合、この範囲の対応はアステラス製薬の承認を取らなくても実行してよい」という合意を事前に定め、速やかに対処できるプロセスを整えている。

　「ことが起こってから初動の承認を取っていては間に合いません。それでは担当者がぐっすり眠れませんし、何か起きた時に疲弊しているようでは十分な対応ができなかったり、対応を間違えてしまったりする恐れがあります。いざというときに正しく迅速に動けるようにするために、疲弊している状態は絶対に作ってはいけないと考えています」（須田氏）

グローバルで共通のソリューションを整備し、在宅勤務環境も保護

　この三年でアステラス製薬を取り巻く環境は大きく変わったという。新型コロナウイルスの影響を受け、同社でもまた、リモート在宅勤務が当たり前のようになってきたそうだ。

　「コロナ前はオフィスに来て仕事をすることが前提で、サテライトオフィスや在宅勤務もありましたが、例外的な位置付けでした。それがコロナ禍でリモート勤務が推奨され、今では、オフィスでの勤務と在宅リモート、サテライトといった具合に働く環境や場所がどんどん自由に広がっています。デジタル技術のサポートによって、いつでもどこでも同じように働ける環境が実現されてきました」（須田氏）

　ただ、そこにも課題はある。もし、リモート在宅勤務でIT環境に異常があれば社員は孤立してしまい、仕事も何もできなくなる。また、何かPCに異変があってちょっと相談をしたくても、隣に同僚がいるわけではなく、そもそも相談先が分からないこともあり、対応が遅れることに十分注意が必要だという。

　同様に働く「時間」についても自由化が進んでいる。在宅勤務の場合、朝から会社に行って夕方まで同じ時間に仕事をするとは限らず、人事制度が許せば、一日の時間を業務とプライベートで柔軟に使い分けることが可能になる。これは利点でもあるが、チーム単位で見ると、同僚や協業する相手が同じように仕事をしているとは限らない、ということにもなる。

　「働く場所や働く時間の自由度、多様性が増した環境でセキュリティを守っていくには、安全なITインフラ基盤が必要だと考えています。いわゆるゼロトラストネットワークという観点で、EDRやSIM、CASB、セキュアWebゲートウェイなどの整備を進めています」（須田氏）

　具体的には、リモート在宅勤務やクラウドサービスの利用を前提に、セキュアゲートウェイのZscaler、EDRのCrowdStrikeなどを導入し、これらの情報とMicrosoft 365をはじめとするクラウドサービスのログをAzure Sentinel上で解析している。この結果をグローバルSOCと共有し、AIも使いながら解析して脅威を検出し、必要に応じて初動につなげている。さらに、CASBが持つクラウドサービスのリスクスコアをZscalerのプロキシに連動させ、リスクの高いサービスへのアクセスを自動的に遮断するといった制御も行っているという。

　EDRの導入によって迅速な初動対応や内部脅威の可視化も実現できている。「グローバルで約1万5000人もの従業員がいると、全員が絶対に怪しいメールを開かないようにするのは無理で、どうしてもクリックしてしまう人がいます。しかしEDRの導入によって、たとえクリックしてしまっても、怪しい動きや他のデバイスに影響を与えそうな場合に自らをネットワークから隔離するといったことができるようになっています」（須田氏）

　こうしたさまざまな取り組みが、アステラス製薬のセキュリティ担当者や責任者が、夜、ちゃんと眠れる理由の1つとなっている。

　もう1つ同社が取り組み始めているのが、OTセキュリティの強化だ。医薬品の研究や製品の生産活動が意図通りに実施できる状態を維持することを目標として、OTセキュリティに取り組んでいる。

　ただ、OTの場合は、製薬技術本部や研究開発部門などさまざまな部門の関与と多様な専門家の協力が必要だ。また、IT環境は比較的標準化しやすいのに対し、OTセキュリティはむしろ「例外の集合体」になる。その例外の集合体をどうやって1つにまとめていくかという難しさや特殊性を乗り越えるべく、これからも取り組みを進めていくという。

日本全体でのセキュリティ底上げを目指すための2つの教訓と1つの提案

　最後に須田氏は、リスク対策やサイバーセキュリティ対策に関わる中で感じてきた2つのポイントを紹介した。

　1つは、「リスク対策は時間との勝負」ということだ。八百屋や果物屋の品ぞろえは、朝早いときには豊富だが、時間がたつとどんどん減っていく。それも良い品からなくなっていき、閉店間際にはほとんど選択肢がなかったり、悪ければ品切れとなったりする。須田氏はこんな例にたとえながら「リスク対策も同様で、手を打たなければ状況はどんどん悪化し、選択肢も減る一方です。ですので、“まだ大丈夫”という考え方ではなく“大丈夫なうちに対策を立てて行動する”という考え方に切り替えていかなければいけません」とアドバイスした。

　具体的な対策の1つは、訓練をはじめとする準備を日常的にしっかり行っておくことだ。「真剣に備えていれば“こと”は起きないと信じて準備をしておくことが、いざというときに対応できるだけでなく、お守りになると考えています」（須田氏）

　2つ目の教訓は、どこかのタイミングでインシデントの終息宣言を出すことだ。インシデントを追いかけ始めるとどうしても時間がかかり、担当者は長期にわたって調査を続けがちだ。須田氏は「やり始めると、自分からはもうやめたとは言いづらいので、誰かが止めてあげなくてはいけません」とし、責任者がしかるべきタイミングで終了宣言を下すべきだとした。

　須田氏はインシデントの収束を、病気の「寛解」に例えた。「治癒や完治は完全に治った状態ですが、寛解とは病気の症状が一時的に軽くなったり、消えたりした状態です。再発の可能性がゼロではなくても、どこかで寛解したという判断を下さなければ入院したままになってしまいます」（須田氏）。寛解状態の患者さんが定期的な検査や投薬をしながら日常生活に戻るのと同じように、セキュリティインシデントについても責任者が「寛解」を判断し、日常の業務運用に戻してあげる必要があるとした。　

　そして最後に触れたのは、アドバイスというよりも提案だ。アステラス製薬はこの7月、「PPAP」などといわれる、パスワード付きZIPファイルのメール添付を廃止する宣言を行った。11月からは受信もできなくしている。

　「こういった個社の取り組みがどんどん横に広がり、日本全体でパスワード付きZIPファイルの添付が廃止されることを期待しています。ぜひこの講演を聴いた方も共有し、われわれもやりませんかと社内で提案してください」（須田氏）