田辺三菱製薬の先進的なクラウドセキュリティ戦略に迫る! 独自の Azure OpenAI 活用方法で業務効率の向上とスキルアップを実現

“VISION 30”の実現に向けたデータ活用のなかで、クラウドセキュリティの強化が課題に

「病と向き合うすべての人に、希望ある選択肢を」を MISSION に、「一人ひとりに最適な医療を届けるヘルスケアカンパニー」を 2030 年に目指す“VISION 30”に掲げる田辺三菱製薬。2025 年までの中期経営計画 21-25 では、成長戦略の骨子として「プレシジョンメディシン（がんゲノム医療）」と「アラウンドピルソリューション（患者やその周囲の QOL 向上）」という 2 つの柱を据え、それを支える経営基盤として、組織・人材の改革やデジタルへの投資、デジタル基盤の構築などに取り組んでいます。

こうした取り組みのなかで重要性が増してきているのがデータ活用です。田辺三菱製薬において、データ活用やクラウド対応、DX 施策などを担当するファーマ ソリューション デリバリー部 バリューチェーン ソリューション グループ 尾﨑 宏道 氏はこう話します。

「プレシジョンメディシンとアラウンドピルソリューションを進めるうえではデータ活用が不可欠な要素です。研究開発、サプライチェーン、工場、本社などさまざまな部門部署でデジタルの取り組みを加速させていて、IT インフラに対してはアジリティとセキュリティの担保が強く求められています」(尾﨑 氏)

• 田辺三菱製薬株式会社 ファーマ ソリューション デリバリー部 バリューチェーン ソリューション グループ 尾﨑 宏道 氏

バリューチェーン ソリューション グループが取り組むのは、IaaS・PaaS を含めた社内クラウド インフラの整備とセキュリティ対応、データ利活用におけるデータ エンジニアリング・可視化・データ マネジメントです。これらの業務のなかでも、VISION 30 の実現に向けて課題になりつつあったのがセキュリティ対応でした。

「セキュリティ戦略は、社内全体のセキュリティを統括するコーポレートソリューショングループと連携して実施していきます。当方が担うのは、クラウドインフラに関するセキュリティやデータ活用に関連するセキュリティです。クラウド基盤上でのデータ活用が進むなかで、クラウド特有のセキュリティをどう担保していくかが課題になりはじめていました」(尾﨑 氏)。

ゼロトラストに代表されるクラウドセキュリティへ移行すべく、アセスメントを実施

田辺三菱製薬がクラウド セキュリティに対応するなかで直面したのは、ゼロトラストなどの新しいセキュリティ モデルに対して、組織的にどう対応していくかという課題でした。

「クラウドはユーザーや役割に応じた ID・アクセス管理やサービスごとの認証認可などオンプレミスとは異なる特有の仕組みが必要です。また、サービスの機能改善が速く、その速度に追随できないと事故につながる設定ミスを犯す可能性もあります。さらに、それらを継続的に監視していく体制をつくる必要があります。そこで当社が共通基盤として採用しているAzureのセキュリティ強化に取り組んだのです」(尾﨑 氏)

グローバル水準のベスト プラクティスや推奨事項に沿ったセキュリティ運用の実現に向けて、まずはマイクロソフトによる Well-Architected セキュリティ アセスメントを実施しました。尾﨑 氏とともに、クウラド インフラの管理やセキュリティ運用を担っている岸本 邦宏 氏は、アセスメント実施の背景を次のように話します。

「境界防御型のグループ ポリシーやオブジェクト ストレージの取り扱い、インターネット ブレイクアウトする際の VPN の設定など、クラウドを利用する際に注意すべき点がいくつかありました。Express Route などをフル活用して当社だけが利用できる環境をつくることでセキュリティを担保することもできますが、PaaS をメインに活用していこうとするとクラウド特有の作法に則る必要があります。そこでアセスメントを実施することで現状のシステム環境に足りないものや取り組むべきことを明らかにしたのです」(岸本 氏)

• 田辺三菱製薬株式会社 ファーマ ソリューション デリバリー部 バリューチェーン ソリューション グループ 岸本 邦宏 氏

マイクロソフトによるセキュリティ アセスメントでは、対象の環境が Azure Well-Architected Framework によるクラウドの基本原則に沿って構成されているかをチェックし、スコアとして算定されます。推奨事項に沿っていない部分は具体的な指示を受けて是正します。例えば、秘密情報を管理する Azure Key Vault やオブジェクトストレージの Azure Blob Storage を推奨事項にあわせて設定することで、セキュリティの強度を高めていきます。

「アセスメントの結果、基本的な水準は満たしているものの、やはりクラウドに適合したポリシーになっていないことや、監視する仕組みがないことが課題だとわかりました。足りないところが可視化されたところで、具体的な対策を講じていきました」(岸本 氏)

Microsoft Defender for Cloud と Microsoft Sentinel でセキュリティを統合管理

クラウドに適したポリシーの策定と監視の仕組みを構築すべく、新たなセキュリティ サービスとして「Microsoft Defender for Cloud」と「Microsoft Sentinel」が採用されました。

Defender for Cloud は、クラウド環境を保護するクラウド セキュリティ体制管理やクラウド ワークロード保護を行うプラットフォームです。クラウドのさまざまなサービスが安全に運用されているかをダッシュボード上で一元的に管理できます。

Sentinel は、セキュリティに関連するさまざまな情報を収集分析するSIEM(Security Information and Event Management)と呼ばれるサービスです。ユーザーがシステムにログインした際や操作した際に発生するさまざまなログを収集することで、セキュリティ上の異常や不正な操作を検知できます。

「Defender for Cloud と Sentinel を連携させることで、クラウド上でセキュリティポリシーが適切に運用されているかを監視し、継続的に改善していけるようになります。Defender for Cloudは、Well-Architected Framework の推奨事項をもとにスコアを算出し、対策を具体的に提案してくれます。一方 Sentinel では、データベースである SQL Database の監査ログ、ID 管理の Microsoft Entra ID のサインインログ、各種アクティビティログなどを収集・分析し、異常が発生したときにセキュリティ アラートを自動的に出してくれます」(岸本 氏)

田辺三菱製薬では、2022 年 5 月から 11 月にかけて、アセスメントからサービスの採用まで進めてきました。今回の取り組みのポイントは特定のサービスを導入することが目的ではなく、アセスメントを通して自社環境に必要なもの、不要なものを選別し、その結果として新たなサービスを採用できたことです。尾崎氏はこう話します。

「当社では、少数メンバーでの内製化を軸にクラウド開発・運用を行っています。少人数体制の場合、アセスメントの実施やサービスの評価や選定を行うこと自体が難しい場合もあります。今回の取り組みではマイクロソフトの支援に大いに助けられました。ディスカッションを通してシステムやセキュリティのあり方を導いてくれて、要望を話しているうちにいつのまにか理想のセキュリティを構築することができました」(尾﨑 氏)

マイクロソフトとのディスカッションを通じて、セキュリティの知識やノウハウが自然と身についたことも今回の取り組みの成果だといいます。

「われわれはセキュリティのプロではありませんから、脅威への対処や製品の機能など詳しいことはわかりません。マイクロソフトはアセスメントのなかで数百にわたる推奨事項の 1 つ 1 つ丁寧に解説してくれたので、セキュリティに対する理解が深めることができました」(岸本 氏)

Azure OpenAI を使って英語のセキュリティアラートを日本語に翻訳・要約

2022 年 12 月までにクラウドに適合したセキュリティを整備してきたものの、改善を続けるなかで運用面では新たな課題も出てきました。それは Defender for Cloud と Sentinel によって構築した脅威検知と自動通知が英語で報告されるため、状況把握に時間がかかり、対処に支障が出てしまうことでした。

「異常を検知すると、対策すべき推奨事項として、セキュリティレベル、タイトル、ステータス、URL などがメールで通知されます。パッと見ただけではわかりにくく、推奨事項を見落としてしまうリスクがありました。さらに詳細を確認するには Sentinel のインシデントを見る必要もあり、手間を感じていました。先述したように、当方は少人数体制のため、クラウド セキュリティの運用をいかに省力化できるかも重要です。マイクロソフトの担当者とのディスカッションを通して解消法を模索していたところ、 Azure OpenAI を使えばできそうだとひらめいたのです」(尾﨑 氏)

データ活用も手掛けている尾﨑 氏は、生成 AI をデータ活用の取り組みのなかですでに利用していました。Azure OpenAI を使えば、メッセージを翻訳し、内容をわかりやすく要約することができることから、運用のあり方も大きく変えられるのではと直感したといいます。

尾﨑 氏は、具体的にどう実装すればいいかマイクロソフトに相談しました。Defender for Cloud と Sentinel の連携で自動化のために利用している Azure Logic Apps のコードについてマイクロソフトの担当者のサポートを受け、それをもとにディスカッションを重ねながら、Azure OpenAIを使った英語メッセージの翻訳と要約を実現しました。

「生成AI を Azure 上で実行できる Azure OpenAIを使うことで、既存の PaaS 環境を生かしながらアイデアを素早くかたちにできました。また、マイクロソフトの担当者からベースとなるコードや具体的な実装のノウハウを教わることで、開発も効率良く進められました」(尾﨑 氏)

• システム概要図

Azure OpenAI による改善で年間 550 時間の作業を削減、セキュリティリテラシー向上にも貢献

Azure OpenAI の取り組みで注目すべき点は、単なる翻訳と要約だけではなく、「なぜ対策が必要なのか」「放置した場合にどんなリスクがあるのか」などまでを自動的に表示することにあります。

「通知はメールと Microsoft Teams のアプリで受け取れます。まずは、インシデントの状況を画面遷移することなくパッと見で理解できるように、インシデントの概要を日本語で表示できるようにしました。具体的には、通知のタイトルや内容が何を示しているかがわかる説明文を追加しています。推奨事項のなかに含まれるセキュリティの専門用語やクラウドに特有の機能なども説明され、調べなくてもおおよその意味がわかるようになっています。次に、この推奨事項がなぜ重要なのか、放置しておくとどうなるかについての説明も追加で表示できるようにしました。例えば、ある項目を False に設定しておくのはどういう理由があり、もし False に設定しない場合外部からアクセスできる状態になりリスクがあるといったことを教えてくれます」(岸本 氏)

こうした翻訳と要約、理由やリスクの説明は、実際の運用する担当者に大きなメリットをもたらしています。従来はインシデントの確認作業に1件あたり10分程度かかっていましたが、Azure OpenAI による改善後は 1 分程度で済むようになったといいます。1 日あたりの対応件数が 10 件ほどで、年間削減時間は 550 時間にのぼります。

「メッセージが日本語になり、理由や説明が追加されたことで以前よりも格段にわかりやすくなり、メンバーのリテラシー アップにつながる効果もありました。実際にセキュリティ リスクへの理解が進んだとの声も多くあがっています。インシデントに対しての具体的な攻撃手法や対処法を学習する機会にもなっています」(尾﨑 氏)

Azure OpenAI は、日本語でのプロンプトで処理を指示します。プロンプトを工夫することで改善を行なうことも容易です。今後は「次に想定される攻撃方法」や「各攻撃方法に対する対策」の表示、「対象ログを Azure Log Analytics で検索するためのクエリの自動生成」などに取り組むといいます。Azure OpenAI は、セキュリティ意識を組織に根付かせる仕組みにもなっているのです。

「Azure OpenAI を活用できるシーンは数多くあります。ユーザーの声に耳を傾けながらセキュリティを強化したデジタル基盤を整備することで VISION 実現に取り組んでいきます。」と尾﨑 氏は今後を展望します。

また、岸本氏は「クラウド基盤やセキュリティの運用を内製で取り組んでいくうえでは『Do more with less (より少ないリソースでより多くを)』がカギです。いつも隣で寄り添って支援してくれるマイクロソフトに今後も期待しています」と話します。

田辺三菱製薬は限られた人的リソースで、Azure OpenAI を活用した先進的な Azure セキュリティ戦略を実現しました。Do more with less　な運用を実現し、さらなる進化を遂げていく田辺三菱製薬の取り組みをマイクロソフトはこれからも支援していきます。

[PR]提供：日本マイクロソフト