製薬企業にとって生命線となるのが新薬の研究開発力だが、そのコストは高騰し続けている。臨床試験の成功確率が低下している一方で、臨床試験や審査の期間も長期化しているためだ。今、これを解決するものとして製薬業界が注目しているのがデジタル技術の活用である。

7月23日~24日に開催された「TECH+フォーラム - クラウドインフラ 2024 Jul. 理想の環境にアップデートする」に中外製薬 デジタルトランスフォーメーションユニット ITソリューション部長の小原圭介氏が登壇。同社のDXを加速するためのマルチクラウド戦略や、多様なセキュリティリスクに対応するための対策について説明した。

全バリューチェーンでクラウドサービスを活用

講演冒頭で小原氏は、中外製薬が2030年までにヘルスケア産業のトップイノベーターになることを目指しており、その目標に向かうために「CHUGAI DIGITAL VISION 2030」を策定したことを紹介した。この中では、組織風土や社員の意識も含めたデジタル基盤を強化し、全てのバリューチェーンをデジタルで効率化すること、そしてそれらによって革新的な新薬を創出することという基本戦略が掲げられている。

  • 「CHUGAI DIGITAL VISION 2030」と3つの基本戦略

この戦略に沿って、同社ではすでに創薬研究、臨床開発、製造、営業までの全バリューチェーンでクラウドサービスが活用されている。例えば創薬では、研究員でも予想が難しい抗体配列をAIによる分子シミュレーションで提案させているという。また、製造では工場の作業計画の立案を自動化し、ARを利用して遠隔地から支援を行うなどのデジタルプラント化も進んでいるそうだ。

独自のクラウドインフラ「CCI」

中外製薬は以前からクラウドを利用してきたが、セキュリティの設定や稼働後の運用をアプリケーションごとに実施してきたため非効率なところが課題だったと小原氏は話す。そこでこれまでの知見をベースに新たなクラウドインフラである「Chugai Cloud Infrastructure(CCI)」構想を立ち上げ、実装を進めている。これは、インフラセキュリティ設定、外部からのアクセス環境、モニタリングなど共通化できるところは可能な限り共通化して効率化を図るものである。

現在CCIではメインクラウドをAWSとし、用途に応じてMicrosoft AzureやGoogle Cloudもサブクラウドとして利用可能にしている。インフラやセキュリティのサービス基盤を統合し、ソフトウエア開発プラットフォームとInfrastructure as Code(IaC)ツールを組み合わせることで、クラウドのインフラをコードで管理、アカウントを一気に作成できる環境を整備した。すでに同社全体の85パーセントのサーバがCCI上で稼働しており、オンプレミスのシステムは一部を除いて2024年度末までにCCIへ移行が完了する見込みだという。

  • 「Chugai Cloud Infrastructure(CCI)」の稼働状況

CCIを導入した結果、環境払出は従来1カ月必要だったものが2~3営業日で実現できるようになった。また発見的統制の考えを採用してセキュリティ基盤を共通化したため、ガバナンスの強化にも効果があった。コスト面では、集約化や自動化によって36パーセントの削減も実現できたと、小原氏はその成果を挙げた。

サプライチェーン保護のためにセキュリティ体制を強化

サイバーセキュリティ体制の強化にも取り組んでいる。生産過程において親会社のロシュや製造委託先、パートナー企業などで構成するサプライチェーンへのランサムウエア攻撃、知的財産や個人情報などのデータ窃取などがあれば、データやウエアラブルデバイスの不正操作による安全性の侵害の可能性があるし、ステークホルダーの信頼を喪失すればDX推進も頓挫する。そのため、総合的なセキュリティの対応力、防衛力の強化が必要不可欠だと考えたためだ。

そこで2030年に向けたサイバーセキュリティの戦略「CHUGAI CYBER SECURITY VISION 2030」を定め、組織運営、人/文化、技術の3つの観点から施策を行ってきた。この中で最初に取り組んだのが組織運営で、セキュリティガバナンス体制の整備に着手した。ITソリューション部が中心となり、全ての組織に情報が伝わる体制をつくり、経営に対してガバナンス状況を四半期ごとに報告するプロセスも確立している。

「経営陣に対してセキュリティの取り組みをしっかり説明できるようになり、セキュリティに対する投資についても説明しやすくなったと実感しています」(小原氏)

セキュリティの課題に対しては、全体のレベルを底上げするベースラインアプローチと、その残存リスクに対応するリスクベースアプローチの2つによって網羅的に対処していく方針だ。ベースラインアプローチでは、セキュリティ対策のベストプラクティス集を参照してガイドラインを策定しているほか、海外を含む全拠点のセキュリティレベルを自己採点し、改善計画の策定にも利用している。一方リスクベースアプローチでは、新たなシステムの企画時にリスク評価を実施する、情報資産に対するリスク評価を年次で行う、定期的な侵入テストでリスクを特定する、外部サービスの脅威インテリジェンスを活用して攻撃者の動向に関する情報を継続的に取得するという4つの手法を組み合わせてリスクを洗い出し、顕在化したリスクに対して個別に対応している。これらを組み合わせることで、網羅的なセキュリティレベルの向上を図っているそうだ。

監視を高度化し、取引先のリスクもチェック

取引先のセキュリティ対策についても注力している。これはランサムウエア攻撃によるサプライチェーンのリスクに対応するためだ。事業継続計画(BCP)の観点から重要な取引先を約70社特定し、「セキュリティ体制・成熟度」と「技術的脆弱性」の両面からチェックし、確認結果を踏まえた対応を依頼している。

取引先のリスクについてはこれ以外にも、信用調査や反社チェック、契約内容の確認などさまざまな確認が必要になる。こうしたサードパーティリスクを包括的に評価するための体制やプロセスの見直しをも図っているという。今後はその仕組みの中で一元的なリスク評価ができるようにしていくそうだ。

万一サイバー攻撃を受けた場合の体制も整えている。IT部門のCSIRTやSOCで検知したインシデント情報を関係部署と共有できるようにしているほか、警視庁など外部の公的機関、JPCERTやCRIC CSFなどの外部団体と積極的に関わることで、最新の情報を得られるようにしている。さらに昨年からは経営層を交えた実践的なBCP訓練も実施し、この体制が機能することを確認している。

  • BCP訓練における関係部署・関係会社の相関イメージ図

中外製薬のデジタル基盤は常に拡張し続けている。新たなクラウドサービスが追加導入され、外部パートナーとの連携も拡大しているためだ。そこで取り組んでいるのが、セキュリティ監視の高度化である。監視と対応の中心となるSOC/SIEMの高度化のほか、内部不正検知(UEBA)や自動化(SOAR)の実装によって監視を高度化し、不審な振る舞いを先回りして検知できるような体制を目指している。

小原氏は、今後とくに重点的に取り組むべき施策として、DXに伴う新たな脅威への対応と、サイバーレジリエンスの強化の2つを挙げた。将来的に患者や医療関係者に向けたデジタルサービスの提供も想定しているため、自社の情報だけでなくサービス利用者の保護も考えなくてはならない。また、日に日に高まるサイバーセキュリティの脅威に対し、一刻も早い検知と対応、復旧というレジリエンスを強化し、万一の際の被害を最小限にとどめることが求められているためだ。

「セキュリティはIT部門だけではなく、リスクに関わる全ての部門が連携して包括的な体制を構築すること、つまり“全社ごと”化していくことが重要です」(小原氏)