ライフサイエンス業界では患者データと知的財産(IP)がサイバー犯罪の主な標的とされてきたため、当業界のサイバーセキュリティ対策は、情報技術(IT)に焦点が当てられてきました。一方で、制御システム(OT)に対する脅威は現在も拡大中でありながら注目を浴びていません。OTとは、製造現場や配送センターのほか、R&D施設や研究室を運営するための技術です。産業用のモノのインターネット(IIoT)や工場間の相互接続のような技術の進歩は、OT環境が攻撃を受ける可能性を著しく増大させます。
そこで、ライフサイエンス業界のOT環境においてリスクの増大につながる特定の市場、業務および規制上の要因とリスク軽減策について解説します。
目次
ポイント
- 消費者志向および専門医薬品開発へのシフトは、製造現場において今まで活用していなかった患者データや知的財産データへのアクセスが必要になりました。
- 破壊的デジタルテクノロジーは、ライフサイエンス業界のみならずサプライチェーンへもますます重要な役割を果たすようになっています。革新的なテクノロジーは、患者の安全確保および品質向上に欠かせませんが、複雑かつ多額の資金を要します。破壊的デジタルテクノロジーの採用が増大しているにもかかわらず、一部では古いレガシーシステムで業務が運営されており、OT環境のためのインフラの不備がサイバー攻撃に対する脆弱さを増しています。
- ライフサイエンス組織は、臨床分野における製品のイノベーションに匹敵する水準で、OT環境に対してもそのイノベーションを保護するための新たな方法が必要となります。
- 世界各地で情報の保護を新たな水準へと高めようとする継続的な動きがあり、ライフサイエンス組織はデータプライバシー規制とその影響を理解した上で、規制に対応する必要があります。
リスクの増大
OT環境の保護はあまりに多額の資金を要するために対応が不可能と考えられていました。しかし、現在は、環境が無防備になった場合のリスクが深刻であることから、OTにおけるサイバーセキュリティ対策への投資は不可欠であると考えられています。特に注意喚起が行われている、リスクの増大につながる特定の市場、業務および規制上の要因の例を4つ紹介します。
1つ目は、消費者志向および専門医薬品開発へのシフトです。製造現場において、患者データや知的財産データへのアクセスが必要になったことがリスクを増大させています。2つ目は、破壊的デジタルテクノロジーの採用の増加です。ブロックチェーンから予測的アナリティクス、人工知能(AI)、IIoTに至る破壊的デジタルテクノロジーの導入により、従来のリスク低減策は無効になり、常に攻撃のリスクに晒されるようになりました。3つ目は、古いレガシーシステムと不十分な役割の定義です。業務において古いテクノロジーを使用し続けている場合や、OTに関する責任者の設置や組織化が遅れている場合は、サイバー攻撃に対して脆弱で、攻撃を受けた際の迅速な対応も困難になります。そして最後に、新たなデータプライバシー規制です。患者データの保護を目的とした規制を遵守できない企業は、数千万ドルの罰金を抱える可能性に加え、影響を受ける患者から深刻な評判の失墜および金銭的賠償の請求を被る可能性があります。
リスクを軽減するには
ライフサイエンス組織が正式なOTサイバーセキュリティプログラムの導入を開始するためには、まず、最も重要なリスクを識別してロードマップを作成した上で、段階的かつ長期的な取組みを通じて対応する必要があります。次に、高度な接続性によって導入されるリスクを局所化するために、企業ネットワークからOTネットワークへの移動ポイントの識別やデバイスにおけるセグメンテーションも必要です。さらに、サイバーセキュリティに対する意識を全社に広めることも重要です。そのためには、組織の方向性および保護対象となる情報の範囲に関する方針に加え、役割と責任に関する方針を文書化することが推奨されます。最後に、データのアクセス制御をコンプライアンス活動の一環として強化することも重要な対策となります。データプライバシー規制と、それらが製造環境におけるデータ利用に及ぼし得る影響を、組織が理解している必要があります。
結論
ライフサイエンス業界は、未曽有のイノベーションの時代を迎えており、その進歩は画期的な通信テクノロジーに依存しています。業界の繁栄と生産性のためには、すべての面においてイノベーションを続けることが不可欠であり、それには、OTおよびITのサイバーセキュリティに同等の重要性を認めることと、イノベーションの阻害となり得る活動を行う脅威アクターの数歩先を進み続けることが必要です。ITと同等のOT環境への対応が未来のライフサイエンス業界におけるイノベーションに懸かっています。