製薬業界のM&Aによるサイバーセキュリティリスク

米国時間2021年8月19日に掲載されたフォーティネットブログの抄訳です。

製薬業界はM&Aが多いことで知られています。M&Aはビジネスには効果的ですが、セキュリティリスクが増大する可能性もあります。製薬会社のM&Aを標的とした脅威を最小化するには、適切な戦略とセキュリティソリューションを導入して、患者の機密情報、OT（オペレーショナルテクノロジー）とITテクノロジー、ビジネスプロセスを保護する必要があります。

異種環境がもたらす課題

GSKのグローバル製薬部門の元CIOで、現在はセキュリティコンサルタントを務めるSimon Roach氏によると、製薬業界の情報セキュリティが複雑化する原因の1つはその異種環境にあります。合併、買収、売却によってIT環境が複雑化するためです。M&A後もレガシーのIT資産の多くは運用が続けられますが、サイバーセキュリティのライフサイクルを超えているため、急速に進化する脅威から保護することは不可能です。

「歴史ある製薬会社がどのように成長してきたか考えてみてください」と、Roach氏は言います。「数百年の歴史を持つ会社もありますが、そのような会社は買収と合併、さまざまな資産の売却を繰り返しています。そのため、社内に多様なテクノロジーが導入され、業務に使用されています」^[1]。新旧のテクノロジーが混在し、サイバーセキュリティ戦略も複数存在することが多くの問題の原因となっています。

製薬業界のITとOTに対するサイバーセキュリティの脅威

合併や買収によって製薬会社のITが複雑になると、サイバーセキュリティにリスクが発生します。M&Aによって各企業のシステムの異なる2つのネットワークがデジタルで接続されるため、そのリスクはOTにも及びます。実際、製薬業界やバイオテクノロジー業界では他の業界よりも多くのデータ侵害が発生しており、その53%が脅威アクターによるものです^[2]。製薬工場が世界中に点在し、異なるシステムを運用している場合、製造業のサイバーセキュリティにもリスクが発生します。

OTの環境はデジタルトランスフォーメーションによって変化しています。産業用制御システムがデジタル化され、さまざまなデータが収集されています。それらの貴重なデータは効果的な意思決定に使用されます。また、これまでエアギャップによって保護されていたICS（産業用制御システム）とSCADA（監視制御とデータ取得）システムの多くは企業のネットワーク、つまりインターネットに接続されます。エアギャップを使用しないと、これらのシステムは高度化する脅威にさらされ、ハッカーの標的になります。M&Aを行わなくてもサイバー攻撃の標的にされることはありますが、均衡状態に新しい変数が追加されると被害は増大します。

製薬業界のサイバーセキュリティの必須要件

製薬業界のサイバーセキュリティには多くの必須要件があります。もちろん、そのすべてが収益と運用を保護することを最大の目的としています。セキュリティ侵害は収益に影響します。侵害が発生すると罰金、収益と注文の減少、生産停止、社会的評価の低下などにつながる可能性があります。これらすべての損失を合計すると、数十億ドルにも上ります。では、合併や買収に関連するサイバーセキュリティのリスクを最小化するにはどうしたらいいのでしょうか。

規模が拡大して複雑化した製薬会社はサイバーセキュリティ戦略を統合し、ITとOTの両方のニーズに対応する必要があります。運用とセキュリティの課題となっている老朽化したIT / OTの大半は個別に管理されているため、研究開発から製造や販売まで、すべての部門にリスクが発生します。また、サイバー脅威から適切に保護し、規制や標準への準拠を実証できないと、知的財産が失われるだけでなく、多額の罰金が科せられる可能性もあります。物理的なデバイスすべてのセキュリティをエンドツーエンドで統合すると、特にITとOTのインフラストラクチャの場合、リスクの高い脅威の透明性と可視性が向上し、規制の変化に応じてシームレスなアップグレードが可能になります。

「製薬会社がM&Aのサイバーリスクを減らし、相乗効果、運用効率、戦略的成長を実現するにはガバナンスが鍵になります」と、フォーティネットでヘルスケアとライフサイエンスのフィールドCISOを務めるTroy Amentは述べています。

また、M&A後に新しいテクノロジーを導入する場合、段階的に変更するか、一度で変更するか、またはレガシーテクノロジーのままにするかを決定する必要があります。実際には、業務やサプライチェーン、ビジネスの混乱を避けるため、一度で変更する製薬会社はほとんどありません。しかし、段階的に変更すると、新旧のテクノロジーが混在し、異種環境に固有の不整合によってリスクが発生します。

そのため、新しい革新的なソリューションに段階的にアップグレードしながらレガシーテクノロジーを保護する必要があります。研究開発が新製品を開発し、サプライチェーンが工場で生産を続けるには、中断のないプロセスは不可欠です。

M&A後の製薬会社におけるサイバーセキュリティのベストプラクティス

M&Aの多い製薬業界の課題の1つは、M&A後のセキュリティインフラストラクチャに一貫性がないために保護が不十分になることです。M&A以前にすでに複雑化していた関連会社などの研究施設、子会社、販売パートナーがM&Aによって接続されるため、ベストプラクティスよりも高度なサイバーセキュリティが必要です。

製薬会社、工場、拠点は知的財産や電子的に保護された健康情報（ePHI）などの機密性の高い運用データに定期的にアクセスして転送しています。M&A後に各社のシステムが連携していないと、エコシステム全体の可視化、データ制御、アクセス監査、コンプライアンスレポートの作成が困難になります。また、2つ以上の異なるシステムをデジタルで接続すると、サイバーセキュリティのリスクが増加し、境界と脅威の攻撃対象が拡張するために保護も複雑になります。ただし、これらの課題を解決すれば、サイバー攻撃を防御できる強度を実現することができます。そのためには、実用的なアプローチを採用し、セキュリティを強化する必要があります。それによって、一貫性のある完全なリスクの減災と全社規模の安全確保が可能になれば、成長、合併、売却、新事業の買収も成功します。

「未知のネットワーク資産の可視化や知識が不十分なために、多くの企業は資産を十分に保護できません。また、攻撃者を迅速にブロックするために、最小限の保護を迅速に導入することも課題となっています。通常、その過程は確認、評価、調達、実装、監視で構成されます。弊社は時間を短縮するために、よくある反復的な評価、テクノロジー、サービスの手順よりも結果に焦点を当てています」と、NTT Ltd.でOT / IoTプラクティスのグローバル責任者を務めるZhanwei Chan氏は述べています。

製薬業界にリスクをもたらす移行

製薬業界には、合併や買収が頻繁に行われる業界固有のサイバーセキュリティの課題があります。企業の重要なデータの保護が脆弱だったり不適切だったりすると、M&Aは最終局面を迎えずに破談になる可能性があります。M&Aでは各企業のサイバーセキュリティの戦略とソリューションが整合しているとは限らず、移行によってセキュリティが脆弱化したり、脅威のリスクが増大する可能性があります。

M&Aを行わなくても、多くの製薬会社がネットワークの複雑化、レガシーのOTシステム、コンプライアンスなどのサイバーセキュリティの課題に悩まされています。しかし、適切なサイバーセキュリティシステムを選択すれば、複雑な製薬会社のネットワークを保護することができます。複雑なセキュリティの問題を解決するには、統合アーキテクチャ型のサイバーセキュリティアプローチを採用する必要があります。そうすれば、攻撃を阻止し、コンプライアンスの実証を簡略化するのに必要な可視化と自動化が可能になり、脅威に対して迅速に対応できます。

¹ 「Addressing Pharma’s Top Cybersecurity Challenges」、Fortinet

² 「How The Pharmaceutical Industry Can Secure Networks To Avoid Cyberattacks」、Forbes、2021年3月