新薬、治療法、療法においてイノベーションは極めて重要なものです。そのため、研究開発(R&D)データはサイバー犯罪者にとって格好の標的となっています。
最も代表的な例としては、新型コロナウイルス感染症(COVID-19)ワクチンの運用やライフサイエンスにおけるその他のブレークスルーがあったため、製薬業界が直面するサイバー攻撃のリスクが大幅に増加しました。攻撃者は、ワクチン開発や流通段階で重要な研究データの窃取、または製造プロセスの妨害を試みます。
そこでこの記事では、主に現在のサイバー脅威と課題に焦点を当て、これらのリスクを軽減する方法を探ります。
製薬業界の厳格な規制の背景
製薬会社が連続生産に移行する中で、生産効率と品質管理の向上が進められてきました。これらの企業は現在、製造実行システム(MES)、パブリック・クラウド・サービス、現場で相互接続された製造環境など、高度に統合された自動化システムやデータ分析ツールに依存しています。
このような高い接続性は、サイバー攻撃の潜在的なエントリーポイントを増やすだけでなく、システムを継続的に稼働させ、高い安定性を維持することも求められます。システム障害や悪意のある攻撃が発生すると、連続生産が中断してしまい、製品の品質上の問題やサプライチェーンの混乱を引き起こし、最終的には重大な損失につながる可能性があります。
医薬品は人間の健康に直接影響をおよぼすことから、世界中の政府は医薬品の開発と生産に厳しい規制を課しています。
米国では、2002年に導入されたFDAの「21世紀の医薬品cGMP」において、リスク管理の概念が導入され、医薬品の品質と安全性を確保するために、規制・管理基準はリスクレベルに対応すべきであるとしています。
製薬業界における主なサイバーリスク
ランサムウェア攻撃
製薬業界は、重要な生産データを暗号化して身代金を要求するランサムウェア攻撃に対して特に脆弱です。Merck社を襲った2017年のNotPetya攻撃では、数カ月にわたり操業中断となったことから、ITと運用制御技術(OT)の融合を図った工場システムが、攻撃の新たな標的になってしまう恐るべき警告となりました。
NotPetyaマルウェアは、当初、ウクライナの税務ソフトウェアMEDocの更新プロセスを通じてアクセス権を獲得しました。その後、EternalBlue SMBv1の脆弱性を利用してネットワーク全体に拡散しました。さらに、LSASS(Local Security Authority Subsystem Service)プロセスからユーザーパスワードを抽出するために、Mimikatzの修正バージョンを使用するなど、パッチが適用されたコンピュータにも感染する別の伝搬技術を採用していました。このマルウェアは、ユーザーの操作なしにネットワークを介して急速に拡散するように設計されており、場合によっては数分でコンピュータをシャットダウンすることがありました。
実行されると、マスター・ブート・レコードを上書きし、システムの起動を阻止します。NotPetyaは、身代金メモでは復号化のためとして身代金要求をしてはいましたが、純粋に破壊目的なもののようでした。それが引き起こした損害は不可逆的で、完全にファイルを消し去り、回復の見込みはありません。ハッカーが製造システムに侵入してしまうと、生産プロセスを麻痺させ、莫大な経済的損失を引き起こすことになります。
OT/ICSシステムに対する脅威
OTとICSは、医薬品の製造プロセスを正確かつきめ細かく管理する上で極めて重要です。しかし、レガシーシステムへの依存と運用環境特有の要求により、これらのシステムは攻撃に対して脆弱になっています。ICS環境を特に標的としているEKANSランサムウェアは、製薬業界のOTシステムに対して、明らかに脅威を高めています。
EKANSマルウェアは、攻撃者が機器を強制的にシャットダウンまたは損傷させる、知的財産を窃取する、さらにはその混乱によって健康や安全に重大なリスクをもたらす可能性があるため、深刻な脅威となっています。医薬品製造にある特殊性が、システム障害で深刻な結果をもたらすことになります。不適切な投薬製剤から生産ラインの完全停止、そして潜在的な汚染リスクに至るまで、さまざまな問題は企業の財務健全性にとどまらず、より重大な場合には、それが厳格な規制環境も脅かすことにもなります。
さらに、現行の適正製造基準(cGMP)、適正自動化製造基準(GAMP)、および連邦規則第21条(CFR21)に準拠しなければならない製薬業界では、連続生産が求められるため、規制上の罰則や評判の失墜を生む可能性まであります。
知的財産(IP)の盗難
独自の処方、研究データ、患者情報を含む機密データの盗難は、製薬業界にとって大きな懸念事項です。製薬業界における医薬品ごとの開発コストは、1億6,100万ドルから45億4,000万ドル(2019年の米ドル価値)の範囲です。抗がん剤の特定の治療領域は、最高額(9億4,400万ドルから45億4,000万ドル)と推定されています。
結果的に、製薬業界の知的財産の盗難は、企業の収益に大きな影響をおよぼす可能性があります。そのため、製薬会社は重要なデータを保護するための対策を講じなければなりません。さらに、データの改ざんは製剤に影響をおよぼし、患者の安全を脅かす可能性があるため、製薬業界ではデータの完全性を維持することが重要になります。
一方、患者のデータ侵害は、医療保険の携行性と責任に関する法律(HIPAA)などのプライバシー保護規制に違反することになり、企業は訴訟や評判の失墜にさらされることになります。
2020年12月、オランダのアムステルダムにある欧州医薬品庁(EMA)へのサイバー攻撃により、Pfizer社とドイツのバイオテクノロジー企業BioNTech社のCOVID-19ワクチンデータが不正アクセスを受けました。パンデミックの間、医療機関や製薬会社を標的としたサイバー攻撃がより頻繁に行われるようになり、国家が支援するスパイやサイバー犯罪者を含むハッカーは、パンデミックに関する最新の情報を入手しようとしました。
サプライチェーン攻撃
医薬品サプライチェーンの複雑さは、サードパーティベンダーへの依存と相まって、複数の脆弱性発生ポイントを生みます。2014年、RedHat Cyberの産業用制御システム(ICS)セキュリティ専門家であるJoel Langill氏は、OTシステムを標的とするDragonfly(別名、Energetic Bear)と呼ばれるマルウェアを調査しました。
攻撃者は、まずスピアフィッシングを使用して標的のサプライヤに関する情報を収集し、次に製薬組織内の小規模サプライヤ企業(従業員50人未満)に目を向けました。これらの企業のソフトウェアをトロイの木馬化し、ウェブサイトのオープンソースコンテンツ管理システムを攻撃することで、サイトの訪問者がトロイの木馬に感染したアプリケーションをダウンロードするようになりました。ダウンロード対象には、産業用制御システムのツールやドライバーが含まれていました。同氏の調査レポートによると、侵害された企業のうち次の3社は、食品、飲料、製薬業界で広く使用されている製品を供給していました。
- Mesa社:産業用カメラと関連ソフトウェアを製造しています。同社の無人搬送車(AGV)アプリケーションは、製薬工場で多く使用されています。
- MB Connect Line社:製薬業界で使用されることの多い生産施設および包装機械のリモート・メンテナンス・ソリューションを提供しています。
- eWon社:産業セキュリティ機器およびポータルソフトウェアのサプライヤであり、ACT’Lグループの一員です。ACT’Lグループには、製薬およびバイオテクノロジー業界向けの産業システム統合を専門とするBiiON社や、製薬およびライフサイエンス施設で一般的に見られる環境監視システムのサプライヤであるKEOS社も傘下にいます。
OTセキュリティの導入における課題
ITとOTの統合における固有の課題
製薬業界におけるITとOTの融合により、従来は独立していた製造システムが企業ネットワークと密接に接続されるようになり、新たなセキュリティ上の課題が生じています。
多くのOT/ICSシステムは、定期的なセキュリティ更新やパッチが適用されていない古いハードウェアやソフトウェアを使用しています。ハッカーは、ITシステムを介して製造プロセスにアクセスし、生産データの操作や、稼働環境の妨害工作を行う可能性があります。
サイバーセキュリティと運用効率のバランス
生産に影響をおよぼすことなく堅牢なサイバーセキュリティ防御を維持することが、製薬業界にとって大きな課題となっています。セキュリティ対策には、更新や検証のためにダウンタイムが必要なことが多く、そうなると生産スケジュールに影響が出てしまいます。
たとえば、自動セキュリティ更新は、システムが最新のパッチと修正プログラムを使用することでセキュリティを強化することを目的としており、多くの企業では一般的な方法となっています。ただし、このアプローチには固有のリスクが伴います。サードパーティが、検証せずに内部ネットワークデバイスやエンドポイントを制御および変更できるようになると、その最新のパッチが適切にテストされていない場合、脆弱性が生じたり、混乱が生じたりする可能性があります。
サイバーセキュリティにおける規制遵守の重要性
製薬業界は、厳しい規制を遵守しなければなりません。
たとえば、制御システム、製造プロセス、および関連必須サービスは(再現可能で一貫性のある医薬品の品質を確認するために)検証され、特に現行の適正製造基準(cGMP)、適正自動化製造基準(GAMP)、および連邦規則第21条(CFR21)の要件を満たす必要があります。
ますます、規制にサイバーセキュリティ要件が組み込まれるようになっているため、製薬会社はこれらの基準を満たしていない場合、生産停止または医薬品市場への参入遅延のリスクにさらされます。
堅牢なOTサイバーセキュリティフレームワークの実装
一般的な企業のネットワークアーキテクチャでは、ITネットワークとOTネットワークは、アプリケーションのニーズが異なるため、分離させる必要があります。ITネットワークはインターネット、電子メール、ファイル共有を使用しますが、OTネットワークではそのような行為は許可されず、より厳格な変更の管理が必要です。
OTネットワークのプロトコルは、セキュリティを考慮せずに開発されることが多く、ITネットワークに接続されると脆弱になります。セキュリティとパフォーマンスの両方の要件を満たすには、ITおよびOTデバイスの特性評価、セグメント化、および分離を行うことが理想的と言えます。
しかし、インダストリー4.0とデジタルトランスフォーメーションにより、ITネットワークとOTネットワークの接続は避けられなくなっています。この統合においては、多層防御アーキテクチャ、OTサイバーセキュリティ専門家との連携、持続可能な防御技術、継続的な監視と対応プロセスが必要となります。多層防御の包括的な原則は、次のように5つの側面に分けることができます。
OTサイバーセキュリティガバナンスの強化
長期的なコミットメントとリソースの割り当てを確保するには、戦略的なOTサイバーセキュリティ計画を策定することが重要になります。この計画では、OTセキュリティを企業のリスク管理に統合し、サイバーセキュリティ対策が業界の基準および規制要件に沿うようにしなければなりません。
職能横断型サイバーセキュリティチームの構築
効果的なOTサイバーセキュリティには、IT、OT、および調達チーム間の連携が必要です。この職能横断型のアプローチにより、ベンダーの選択からネットワーク管理まで、医薬品製造プロセスのあらゆる側面において、サイバーセキュリティ上の考慮事項が統合できるようになります。
サイバーセキュリティリスク管理
サイバーセキュリティリスク管理は、OT保護に対応する上で重要な要素です。企業のOTシステム運用、および関連するデータ処理、ストレージ、通信を定期的に評価することで、OT運用、OT資産、および人材に起因するサイバーリスクを削減できます。
これには、次のような資産管理、脅威/脆弱性スキャン、軽減、サプライ・チェーン・リスク管理が含まれています。
- IT/OT資産の管理:OT環境内のリスクを効果的に管理するために、包括的で正確なIT/OT資産インベントリを実装します。正確な資産情報は、脅威評価、脆弱性管理、レガシー資産の追跡など、複数のリスク管理対象に対応します。
- 脅威と脆弱性の管理:すべての機械と機器が導入前に脅威と脆弱性のスキャンを受けるようにし、特定されたセキュリティ問題はすべて文書化しておきます。導入前に、既知で未解決のセキュリティ問題がないことを確認しておきます。たとえば、共通脆弱性評価システム(CVSS)に従って計算された脆弱性の深刻度は、製品のセキュリティ環境内で許容される残存リスクレベルを下回っていなければなりません。
- サプライチェーンのセキュリティ管理:製品サプライヤに対しては、サプライチェーン契約管理に基づいたセキュリティリスクの管理を要求することをお奨めします。これは、今後の機器調達時の評価基準の1つとなります。
ネットワークのセキュリティ
OTシステムのネットワークセキュリティには、境界保護、セグメンテーション、集中ログ、監視、マルウェア対策が含まれています。
これは、外部と内部の両方の通信を保護することに重点を置いています。重要なポイントは以下のとおりです。
- ネットワーク境界の保護:ファイアウォールを使用してネットワークを分離し、異なるセグメント間の接続を管理することにより、さまざまなレベル間の直接通信を防ぐことでセキュリティを強化します。
- OTのゼロトラストの原則:ゾーン内のラテラルムーブメント(横方向の移動)のリスクを防ぐために、ゼロトラストアーキテクチャ(ZTA)の実装を調整することで、冗長性を確保し、OT運用へのリスクを最小限に抑えます。
- OTネットワークアクセスの厳格な制御:ファイアウォール、要塞ホスト、ジャンプボックス、またはDMZを介して必要な接続のみを許可し、厳格な監視とログ記録を行うことで、OTネットワークへのアクセスを厳格に制御します。
- ネットワークセグメンテーション:攻撃の拡散を制限し、侵入を特定の領域に限定させるためにネットワークをセグメント化し、セキュリティインシデントの影響を最小限に抑えます。
- ネットワークトポロジの文書化:ITネットワークとOTネットワークの両方について、ネットワークトポロジの正確なドキュメントを維持し、定期的に更新します。
- ファイアウォールとIDSの導入:ファイアウォールと侵入検知システム(IDS)を使用して、トラフィックを監視・フィルタリングし、不審なアクティビティに対応して、潜在的な脅威を特定してブロックします。
- リモートアクセスの保護:OT資産のパブリックインターネットへの接続を制限し、例外があればそれを正当化および文書化し、ログ記録、多要素認証(MFA)、プロキシ経由の強制アクセスなどの追加セキュリティ対策を実装します。
エンドポイント保護
既存のエンドポイント保護機能を確認して、運用パフォーマンス、セキュリティ、または機能を損なうことなくOT環境の防御にどのように対応できるかを判断する必要があります。
- マルウェア対策:OTの運用に影響をおよぼすことなく脅威を検知して軽減するために、すべてのエンドポイントにウイルス対策とマルウェア対策を導入します。マルウェアや持続的標的型攻撃(APT)から保護するために、OT環境に最適なメカニズムを使用します。
- 構成管理:効果的な脆弱性管理、対応、および復旧を行うために、ITおよびOT資産構成に関する包括的かつ最新の記録を保持します。そして、これらの記録を定期的に確認し、更新します。
- デフォルトのシステムポリシー:デフォルトでマクロなどの不要な機能を無効にします。権限のあるユーザーが必要なサービスの有効化を要求する際のポリシーを策定します。
- 悪意のあるインシデントの検知:悪意のあるインシデントを迅速に検知するために、効率的なログ記録、異常な振る舞い分析、およびリアルタイムアラート機能を備えたリアルタイム監視システムを導入します。
- 不正なアプリケーションの検出:OTのパフォーマンスを損なうことなく管理するために、セキュリティ更新を含む、不正なアプリケーション、スクリプト、タスク、および変更を確認および分析します。
- インストールの承認:新しいハードウェア、ファームウェア、またはソフトウェアをインストールする前に承認が必要となるようにポリシーを策定します。リスク評価後に、承認されたバージョンの許可リストを維持します。これらのプロセスを、OT資産の変更管理とテストに合わせます。
- デバイスの管理:不正なデータ転送やマルウェアの侵入を防ぐために、外部デバイスの使用を制限します。USBとリムーバブルメディアの使用を制限し、自動実行(AutoRun)を無効にして、物理ポートを保護します。承認された例外からのみアクセスを許可します。
アプリケーションセキュリティ
ソフトウェアセキュリティ保護メカニズムにより、OTに対応するアプリケーションとサービスが正しく使用および保守されていることを確認できます。
以下の対策を実施することで、エンドポイントセキュリティを大幅に強化し、それによって全体的なソフトウェアセキュリティ機能を向上させられます。
- アプリケーションの許可リストの作成:承認されたアプリケーションのみがOT環境で実行できるようにすることで、不正なソフトウェアや悪意のあるソフトウェアを防ぎ、セキュリティリスクを軽減します。
- パッチ管理:セキュリティパッチをタイムリーに適用するための厳格なプロセスを実装します。脆弱性を定期的にスキャンし、アップグレードが不可能な場合は、仮想パッチを使用して迅速に対処します。
- セキュアなコード開発:コードレビューの実施、分析ツールの使用、定期的なセキュリティテストの実施など、ソフトウェア開発のベストプラクティスに従って、堅牢で安全なコードを確保します。
- 構成管理とアプリケーションの強化:不要な機能の無効化、権限の制限、強力な暗号化の使用、そして構成の定期的な更新を行うことで、すべてのアプリケーションやサービスがセキュアに構成されるようにします。これで、システムの攻撃対象領域が削減され、セキュリティ全体が強化されます。企業は、アプリケーション許可リストポリシーを実装して、承認されたアプリケーションのみがOT環境で実行できるにしなければなりません。これにより、承認されていないソフトウェアや悪意のあるソフトウェアがシステムで実行されるのを防ぎ、セキュリティリスクを軽減できます。
継続的な監視と可視化
継続的な監視とセキュリティ評価を行って、保護対策が長期的に効果を維持できるようにしなければなりません。
- ネットワークの監視:
ネットワークの監視には、アラートとログを確認して、潜在的なネットワーク・セキュリティ・インシデントの兆候を分析することが含まれます。
また、監視タスクの支援として、自動化を検討する必要があります。振る舞い異常検知(BAD)、セキュリティ情報およびイベント管理(SIEM)、侵入検知システム(IDS)に対応するツールや機能、またはTXOne EdgeIPSは、ネットワークトラフィックを監視し、異常または疑わしいトラフィックが検知されたときにアラートを生成する働きがあります。さらに、次の機能も考慮する必要があります。
- ネットワークに接続されているデバイスの検出とインベントリなどの資産管理
- 典型的なデータフローとデバイス間通信のベースラインを確立するためのネットワークトラフィック監視
- ネットワークパフォーマンスの問題を検出して対処するためのパフォーマンス診断
- ネットワークデバイスの設定ミスと障害の検出
- システム使用状況の監視:
ユーザーとシステムを監視することで、その挙動が想定通りになっていることを確認し、ファイルアクセスや変更、構成変更、ログ記録、監査、実行中のプロセスなどのイベントを特定するのに役立ちます。システム使用状況監視ソリューションを通じて収集された情報は、OTシステムのトラブルシューティング、システムの設定ミスの特定、およびフォレンジック分析に使用できます。
さらに、次の点を考慮する必要があります。
- デバイスのパフォーマンスに対するホストエージェントの影響
- デバイスに対するアクティブスキャンの影響
- ネットワークインフラストラクチャの帯域幅容量
- アーキテクチャビュー:
アーキテクチャビューは、自動化されたツールを使用して、ユーザーがライフサイクル全体で継続的なセキュリティと効率を維持できるようになります。視覚的な表示によって、企業のサイバーセキュリティの状況が多角的に把握できます。
これらのビューでは、保護されている資産と保護されていない資産の割合、資産の健全性状態と異常検知、資産の暴露レベルの評価、および資産ライフサイクルの概要など、全体的なセキュリティの状況を細分化して確認できます。
- グローバル・システム・ビュー
- マルチ資産リスクビュー
- 更新性とパッチ適用性ビュー
- セキュリティ・ユース・ケース・ビュー
厳格なメンテナンス追跡によるセキュリティの強化
進化する脅威の状況に適応するには、サイバーセキュリティ対策の継続的な改善が不可欠です。
TXOne NetworksのPortable Inspectorなどの革新的なツールを使用して組み合わせた定期的なセキュリティ評価は、生産プロセスを中断させることなく、高レベルのセキュリティを維持するのに役立ちます。
迅速な対応能力の開発
製薬業界におけるサイバーセキュリティインシデントの深刻な影響を考えると、迅速かつ効果的なインシデント対応能力を確立することは極めて重要です。包括的な脅威の検知と対応のために、SageOneなどのプラットフォームを利用すると、サイバー脅威を迅速に特定して軽減し、ダウンタイムを最小限に抑えて、さらなる損害を防ぐことができます。
まとめ
製薬業界が革新を続け、デジタルトランスフォーメーションを受け入れる中、堅牢なサイバーセキュリティ対策の重要性はいくら強調してもしすぎることはありません。包括的なOTサイバーセキュリティフレームワークを採用することで、CISOは、医薬品製造プロセスを標的として、ますます巧妙化するサイバー脅威から企業を保護できます。
このプロアクティブなアプローチは、重要な資産のセキュリティと完全性を確保するだけでなく、法令遵守を維持し、企業の評価を守ることもできます。
TXOneにまずお気軽にご相談ください。
医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
