製薬業界に対する潜在的なサイバー脅威

製薬業界は知的財産やサプライチェーンの重要性からサイバー攻撃の格好の標的とされています。本記事では、製薬工場を取り巻く最新のインフラと、増加する脅威の実態、狙われやすいポイント、そして有効なセキュリティ対策について解説します。

製薬業界の最新インフラと自動化の進展

製薬業界は高度にグローバル化されています。新薬の研究開発にはコストがかかり、時間もかかり、リスクも伴います。さらに、研究開発の成果は長期間特許によって保護されるため、その知的財産は攻撃者にとって魅力的な標的となっています。図1には、製薬業界のエコシステムの概要を示しています。

まず、この業界の目標は、患者に医薬品を提供することにあります。新薬を開発する必要がある場合、その医薬品開発は主に、発見、前臨床研究、臨床開発、審査、監視という段階を踏むことになります。発見段階にはいくつかのフェーズがあります。
まず、製薬会社の研究者は、一連の同定および検証手順を実施して、疾患治療において重要な役割を果たす遺伝子とタンパク質を見つけます。
次に、化合物のスクリーニングと最適化が行われます。発見段階の最後のフェーズでは、期待される効能を持つ生物学上の医薬品有効成分（API）を見つけ出します。次の段階である前臨床研究では、医薬品の安全性を確認するために、生体内で前臨床研究を行います。臨床開発段階では、薬剤は臨床実験とボランティア研究を通じてテストされ、安全性と有効性のために継続的に調整されます。

たとえば、米国を見てみましょう。新薬は臨床開発後、米国食品医薬品局（FDA）によって審査されます。審査の結果、承認された場合でも、製薬会社はFDAの有害事象報告制度（FAERS）を使用して医薬品を監視し、市販後安全監視を継続的に実施しなければなりません。ワクチン製造を例にとると、FDAが医薬品を承認すると、製薬会社の工場は、原材料やさまざまな化合物からAPI製品を製造し、他の化学成分と混合して、ワクチン接種に適した瓶または注射器に薬用物質を変えられます。
次に、医薬品は、医薬品物流を使用して、厳格な監視と温度管理の下、世界各国に出荷され、現地政府の方針に従って現地の医療提供者に配布された後、最終的にそれを必要とする患者に提供されます^[1][2][3][4]。

図1.製薬業界エコシステムの概要

図1にあるように、製薬会社の工場は医薬品の最も直接的な供給源です。工場が被害を受けると、患者はすぐには薬を入手できなくなり、取り返しのつかない事態を引き起こしかねません。そこで、この記事では、製薬会社の工場の動向と現状を説明し、それらの潜在的なセキュリティとサイバー脅威を明らかにしていきます。

ファクトリーオートメーションの導入

大手製薬会社は近年、生産効率の向上と運用コストの削減を図るために、工場の自動化ソリューションを模索してきました。たとえば、工場では機械学習技術を活用し、医療機関からのデータを組み合わせて、患者一人ひとりに合わせた医薬品を製造することができます。また、自然言語処理（NLP）技術を活用して、工場が複数のデータソースを分析し、業界予測を行うことで、工場が正確に医薬品を生産できるようにする、という例もあります^[5][6]。Merck、Pfizer、Sanofiなどの製薬会社は、すでにPharma 4.0への道を歩み始めています。詳細については、付録^[7]をご覧ください。

連続生産技術の応用

医薬品の品質向上と医薬品不足の解消というメリットが見込めることから、FDAの推進の下、従来のバッチ生産から連続生産へと徐々に転換する工場が増えています。連続生産とは、プロセスが連動しており、工場が中断することなく原材料を供給して、医薬品を製造する方式です。

医薬品規制への準拠

医薬品は人間の健康に直接影響をおよぼすため、世界中の政府は医薬品の開発と製造に厳しい要件を設けています。企業は、FDA、EMA、GMP、GAMPなどの規制を遵守するだけでなく、工場では資産保証の不履行を回避しなければならず、しかも資産所有者は資産管理のためにサードパーティ製のソフトウェアをインストールできないため、規制遵守がより複雑になっています。そのため、無料インストールを通じて製薬工場の視覚的な管理コンポーネントを提供することにより、工場のコンプライアンス効率を向上させることになります^[10]。

潜在的なサイバー脅威と攻撃シナリオ

近年のパンデミックによる深刻な影響から、医薬品の製造または流通プロセスに支障が生じると、人々はただちに薬品の入手ができなくなり、そこからパニックが起こり、さらには取り返しのつかない身体的被害まで引き起こしてしまいます。以上のことから、TXOne Networksでは製薬メーカーの工場と物流を分析し、以下の潜在的な脅威を特定しました。

製薬業界における脅威の具体例

• 製薬工場の機械やシステムはインターネットに接続されており、ファクトリーオートメーションの傾向が強まる中、攻撃者に攻撃ベクトルを余計に与えることになる。

医薬品の生産効率を向上させ、工場の運営コストを削減するために、製薬会社は徐々に自動化した工場を導入し、多くの機械やシステムをネットワークに接続してきました。たとえば、Merck Pharmaceuticalは、さまざまなモジュールを備えた工場を設立し、工場間をネットワーク接続することで、さまざまな種類の医薬品を柔軟に生産し、小ロットの医薬品を迅速に生産できるようになっています。
また、Sanofi Pharmaceuticalsでは、工場内のセンサーデータをインターネットに接続し、デジタルツイン技術を用いて管理者にリアルタイムのオペレーション情報を提供しています。
さらに、協働ロボット（Cobots）や拡張現実（AR）などの技術も活用し、より高い実行効率を実現しています^[7]。

工場が多くの機械やシステムをネットワークに接続すると、攻撃者が、インターネットにアクセス可能なデバイスや無線侵害などの技術を用いて、工場に対する初期攻撃を行う機会が増えます。特に、設計上セキュリティが欠如している産業用通信プロトコルを使用すると、PROFINET、PROFIBUS、Ethernet/IP、Modbusなどの通信プロトコルの脆弱性をハッカーが悪用する可能性が高まります。
さらに、自動化された工場で使用される産業用ロボット、拡張現実、3Dプリントのセキュリティリスクも、工場に対する潜在的な脅威となります。自動化された工場の脅威の詳細については、^[11]をご覧ください。

• 買収やアウトソーシング戦略により、工場のネットワークインフラはより複雑になり、ハッカーは信頼できるデバイスを侵害してイントラネットに侵入する可能性がある。

製薬企業にとって、研究開発能力の向上、製品の治療領域の拡充、生産規模の拡大を実現するために、買収やアウトソーシングは一般的に採られる戦略です。2022年上半期には、医療・医薬品業界の合併と買収（M&A）の市場規模は43.2億米ドルに達し、前年同期の2倍以上となっています^[12]。M&A活動においては、レガシー資産と新しい資産を同時に同じITネットワークに統合することが簡単に行われてしまうため、サイバー攻撃に対して脆弱なレガシーIT資産が企業ネットワークにアクセスできるようになります。
つまり、レガシー資産が侵害されると、企業ネットワークへの入口（エントリーポイント）になってしまうのです。工場内の機械やシステムのネットワーク化が進む傾向に加えて、一般的に信頼されている企業ネットワークのこれらのソースも、OT環境に脅威をもたらしています。

アウトソーシング活動にも同様の傾向が見られます。世界のバイオテクノロジーおよび製薬サービスのアウトソーシング市場は、2021年に660億米ドルと評価されており、2022年から2030年にかけて年平均成長率5.5%で拡大すると予想されています^[13]。顧客が現在の進捗状況とステータスをリアルタイムで確認できるようにするために、製薬工場は最終的に顧客が接続するためのリモートサービスを提供することになりますが、これにより、さらに管理できないソースがOT環境に接続できるようになります。

• 連続生産により、製薬工場はより高度な装置を使用できるようになる一方、わずかな中断でも製造プロセスに深刻な損失をもたらす。

FDAの後押しにより、ますます多くの製薬工場が医薬品を改善するために連続生産を採用しています。
しかし、連続生産は自動化された機械に大きく依存しており、特定の製品を製造するためにカスタマイズされることが多々あります。このような機械は複雑で精巧にできているため、装置へのわずかな中断でも製造工程に欠陥が生じ、操業停止や経済的損失という形で工場に損害を与えることになります^[14]。ほとんどの連続生産装置は精密に設計されており、第三者による変更を許可していないため、装置の所有者が適切なサイバーセキュリティ保護対策を展開することは困難です。
一方、装置の中断が微塵も許されない環境では、工場が操業を継続できるように、装置の外部からのサイバー攻撃を防がなければなりません。

• 医薬品の配送時、IoTデバイスは医薬品のGPS追跡用や状態監視用に組み込まれており、信号が乗っ取られれば、デバイスの情報錯綜や出荷遅延のリスクが生じる。

需要の高い医薬品は、製造後の保管や輸送に課題があります。
たとえば、ベルギーで製造された医薬品をマイナス70度で保管し、世界中に出荷しなければならない場合を考えてみましょう。輸送中に医薬品の盗難やその他の違法行為を回避するため、工場への医薬品の輸送ソリューションの1つとして、GPS追跡と状況監視機能を備えたIoTデバイスを使用する方法が挙げられます。こうすることで、医薬品購入者は医薬品の環境変化を追跡することができ、仮に輸送中に医薬品が紛失または破損した場合でも、工場は直ちに新しい医薬品を送付して購入者の被害を軽減することができます^[15]。

医薬品が製造され、医療提供者に提供されるまでは、医薬品のパイプラインには医薬品メーカー、医薬品物流サプライヤー、政府の購入者や流通業者が存在します。攻撃者は、無線周波数（RF）ツールを使ってGPS信号を乗っ取り、偽造することができるため、追跡者（政府購入者や流通業者など）は誤った医薬品情報を手にする可能性があります。こうなると、出荷スケジュールに影響をおよぼすだけでなく、国民が緊急に医薬品を必要としている場合、間違った情報が国を混乱に陥れるかもしれません。

規制遵守とセキュリティ対策の両立

製薬企業の工場は、FDA、EMA、GMP、GAMPなどの規制に準拠する必要があります。同時に、これまで示してきたような脅威から身を守る必要もあります。この両方の目標を達成するために、TXOne Networksでは、工場が遭遇する可能性のある潜在的な脅威を軽減するために、以下のOTゼロトラストベースのソリューションを推奨しています。

1.セキュリティ検査

USBメモリの形をした持ち運び可能なこのスキャンデバイスは、ソフトウェアをインストールすることなく、資産をスキャンして、マルウェアを駆除することができます。このポータブル・セキュリティ・ツールを活用することで、高度な製造装置を変更することなくマルウェアを検出し、保証違反を回避することができます。これにより、製薬業界は、FDAのCFR Title 21 Part 11などの製薬業界の規制を遵守しながら、デバイスの完全性を確保することができます。

• サードパーティのソフトウェアが医薬品生産設備におよぼす影響や、装置ベンダーの保証条件に違反することを低減します。
• 製薬工場の生産ラインがエアギャップ環境にある場合でも、Trend Micro Portable Inspectorはオフラインスキャン機能でマルウェアのスキャンを行います。
• 従業員やサプライヤーの電子機器にマルウェアが存在するかどうかを迅速に検査し、必要に応じて駆除または隔離を自動的に行います。
• また、スキャンごとに収集された資産情報は記録され、集中管理コンソールに送信されるため、そこでレビューやアーカイブが行われます。
• 資産情報とマルウェアのスキャン結果は、AES-256ハードウェア暗号化を使用して送信され、送信プロセスも自動的にマルウェアをチェックしてファイルを保護し、データの整合性を図ります。

2.ネットワーク防御

OTネットワーク防御では、ネットワークセグメンテーション、ネットワークアクセス制御、仮想パッチ、優れた侵入検知分析機能などを活用して、脆弱な資産が大規模な災害を引き起こさないようにします。また、監視を簡素化しているため、ハッカーによるOTネットワーク内での情報収集や横方向への移動（ラテラルムーブメント）が困難になります。OTネットワークは以下のように展開することをお奨めします。

ネットワークセグメンテーション
ネットワークセグメンテーションは、利用可能な技術、帯域幅、通信プロトコルに応じて、大規模またはエリアの分割に適用される内部セグメンテーションとマイクロセグメンテーションにさらに分けることができます。同様に、マイクロセグメンテーションは、保護対象の範囲または領域をより小規模、あるいは個々の資産にまで縮小することを可能にする技術的なソリューションを指します。
これにより、既存のネットワークアーキテクチャを変更することなく、産業用ネットワークの可視化と、ネットワーク上のデバイスのICSプロトコルフィルタリングが可能になります。
このように、既存の設定に干渉することはありません。

仮想パッチ技術
これは、ホストベースの侵入防御システム（別称：ネットワークIPS）を用いて実装されます。これらのデバイスには、パケットフィルタリング用に特別に設計されたネットワークポリシーがあります。これらは、エンドポイントにセキュリティ更新を強制することなく、既知の脆弱性を悪用する攻撃から防御するために特別に設計されているため、システムの再起動や生産ラインの停止を回避できます。

ネットワーク許可リスト
さまざまな産業用制御ネットワークプロトコルとL2-L7ネットワークトラフィックの詳細な分析に対応し、プロトコルコマンドの編集とエンドポイント接続許可リストの操作を可能にして、ネットワークルール許可リストを作成します。
さらに、ネットワークセグメンテーションにより、すべてのハードウェア保護デバイスは、中央制御プラットフォームで視覚的に監視・管理することができます。
また、最小権限の考え方を導入することで、リスクが低減します。

3.OT環境の完全な可視化

製薬工場では、多くの機械やシステムがネットワークに接続しているため、攻撃者はインターネットへのアクセスが可能なデバイスやワイヤレス侵入など、より多くの初期アクセス手法を利用できます。
このとき、工場のセキュリティチームは、多くのデバイスの情報セキュリティをリアルタイムで管理して、攻撃が発生したときに管理者が即座に検知して対処できるように、はっきり状況が確認できるプラットフォームが必要となります。EdgeOneを利用すれば、製薬工場のサイバーセキュリティ管理者に、包括的で統合された概要を確認できます。
また、EdgeOneはアラート、資産、インシデントイベントでまとめられており、サイバーセキュリティチームは企業の産業用制御システムのセキュリティを直接監視できます。

まとめ

製薬業界は、人命に関わる製品を扱うことから、サイバー攻撃による影響が甚大です。特に自動化やアウトソーシングが進む中で、攻撃対象となる箇所が増えています。今後は、規制を遵守しながら、ネットワーク防御・端末管理・可視化といった多層防御の実現が不可欠です。
TXOneのOTセキュリティソリューションを活用することで、安定稼働と安全性を両立した製薬工場の実現が可能になります。

製薬業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

製薬業界で求められるサイバーセキュリティ対策：CISOの採るべき戦略

製薬業界のCISOが直面する主要な脅威と、それに対応するための実践的な戦略を詳しく解説します。

CISOのための防御戦略：医薬品製造におけるサイバーセキュリティの強化

製薬業界のイノベーションは極めて重要であることから研究開発（R&D）データはサイバー犯罪者にとって格好の標的となっています本。本記事では、製薬業界における現在のサイバー脅威と課題に焦点を当て、これらのリスクを軽減する方法を解説します。

参考文献

[1] Tuba Khan、『新型コロナワクチンの流通が次のサプライチェーンの最先端に（COVID-19 Vaccine Distribution the Next Supply Chain Frontier）』、PharmaShots、2020年8月13日、アクセス日 2022年8月17日

[2] 桂化学、『原薬とは』、桂化学、アクセス日 2022年8月17日

[3] Anindya Ghosh Roy、『原薬と製剤とは？（What are drug substance and drug product?）』、Lösungsfabrik、2018年5月24日、アクセス日2022年8月17日

[4] Abhay Pandey、『医薬品開発と創薬プロセスにおける全フェーズの概要（Overview Of All Phases In Drug Development And Discovery Process）』、NorthEast BioLab、アクセス日 2022年9月4日

[5] The Keenfolks、『2022年の製薬業界トップ5のトレンドと予測（Top 5 Pharmaceutical Industry Trends and Predictions for 2022）』、The Keenfolks、アクセス日 2022年8月17日

[6] Igor Kruglyak、『製薬業界はさらなる革新と繁栄を遂げる：2022年の製薬業界トレンドトップ10（Pharma will innovate and prosper further: Top 10 pharmaceutical industry trends in 2022）』、Avenga、2022年5月18日、アクセス日 2022年8月17日

[7] Tim Sandle、『インダストリー4.0を取り込む製薬業界（Pharmaceutical sector embracing Industry 4.0）』、Digital Journal、2018年9月22日、アクセス日 2022年8月17日

[8] Shane McLaughlin、『製薬業界における連続生産とバッチ生産の比較（Continuous Manufacturing vs Batch Manufacturing in the Pharmaceutical Industry）』、SL Controls、アクセス日 2022年8月17日

[9] Pfizer 2019 Annual review、『ポータブル、連続、ミニチュア、モジュール式（Portable. Continuous. Miniature. Modular.）』、Pfizer、アクセス日 2022年8月17日

[10] Michael Cheng、Max Farrell、『製薬メーカーのベストプラクティス：Trend Micro Portable Security™ 3（Best Practices for Pharmaceutical Manufacturers: Trend Micro Portable Security™ 3）』、TXOne Networks、2021年9月9日、アクセス日 2022年8月17日

[11] TXOne Networks Blog、『自動化工場への潜在的脅威（Potential Threats to Automated Factory）』、TXOne Networks、2022年8月24日

[12] LiveMint News、『2022年上半期に、医療/製薬業界のM&A取引額が過去最高を記録（M&A deal value in healthcare, pharma hits record high in first half of 2022）』、LiveMint、2022年7月12日、アクセス日 2022年8月17日

[13] Grand View Research、『2030年のバイオテクノロジーと製薬業界のサービスアウトソーシング市場レポート（Biotechnology & Pharmaceutical Services Outsourcing Market Report, 2030）』、Grand View Research、アクセス日 2022年8月17日

[14] Dan Brettler、『連続生産で進化するリスク（Evolving risks in continuous manufacturing”, Swedish Institute of Computer Science）』、Pharma Manufacturing、2019年10月28日、アクセス日 2022年8月17日

[15] MYTRACKINGDEVICES™、『ユースケース：ファイザーCovid-19コロナウイルスワクチンのGPS追跡と状況監視（Use Case: GPS Tracking & Condition Monitoring of the Pfizer Covid-19 Coronavirus Vaccine）』、MYTRACKINGDEVICES™、2020年11月20日、アクセス日 2022年8月17日