【第6回】ライフサイエンス業界における効果的なサイバーセキュリティ対策とは

　　今回は、OTセキュリティ（Operational Technology Security）にフォーカスを当てたいと思います。そもそも、OTセキュリティとはなんでしょうか、病院、製薬などの製造業やエネルギー、交通インフラなどの産業プロセスや機器を制御・監視するOTシステムに対するセキュリティ対策全般を指します。そもそも、OTシステムとは、製薬業の工場、研究所、発電所、交通インフラなどの物理的なシステムや設備を制御・運用するための技術やシステムを指し、各種センサーやアクチュエイター^＊１、そして制御系の機器を活用してリアルタイムに監視や制御を行うことで、システムの稼働状況を適切に管理することに用いられます。
　　現在、OTシステムは、製薬業をはじめ、ハイテク、半導体、自動車や輸送用機器業界などの製造業全般、及び、重要インフラ業界^＊２など、色々な状況で利用されています。具体的に、製薬業に置けるOTシステムとしては、次のようなものがあります。
✓　工場でのロボットや機械による製薬製造
✓　工場でのセンサーなどによる温度監視や品質管理
✓　工場での自家発電システムでの電力供給の監視
　　また、医薬品、医薬部外品の製造工場はGMP規定^＊３の三原則(1:汚染、品質低下の防止, 2：人為的ミスの防止, 3:品質システムの構築) 等に必須な製薬工場の生産ラインを制御して、医薬品製造における品質管理に重要な役割を果たすPLC（Programmable Logic Controller）^＊４や、工場の生産設備に存在する機器をネットワークで接続し、センサーなどが取得したデータを収集・分析するSCADA（Supervisory Control and Data Acquisition）^＊５システム導入することで医薬品の信頼性を担保したり、生産の効率化を図ったりすることができます。
　　OTセキュリティは、これらのOT機器がサイバー攻撃や技術的な障害による生産ラインの停止や安全上の問題など、産業システムの運用におけるリスクを最小限に抑えることが目的とされております。
　　さて、近年このOTセキュリティ対策の重要性が日に日に増しており、その背景には、製薬など製造業を標的としたサイバー攻撃自体の増加、DXなどの推進によるITとOTの融合やデータ連携ニーズが増えていることなどが背景として考えられます。従来、製造環境である工場や研究所などのOT環境は、外部やインターネットに接続しない閉ざされた環境であった為、サイバー攻撃や不正アクセスのリスクは低く、セキュリティ対策はあまり重要視されてきませんでした。
　　しかし、近年は生産の効率化、ビックデータ分析、情報活用、生産設備の故障予測等の必要性から、ITとOTの連携が増えており、結果的にOTシステムは外部のインターネットにも繋がるケースが増え、サイバー攻撃の脅威にさらされる危険性が高まりました。
　　ひとたび、OTシステムがサイバー攻撃を受けると、生産設備の停止、及び外部企業を含むサプライチェーンにも影響が及び、甚大な損害につながる可能性があります。
具体的には、

• 生産設備の故障や停止: サイバー攻撃により、工場全体や生産インフラの稼働が停止するリスクによる甚大な被害
• 情報漏洩: サイバー攻撃により、研究開発や製品に関わる機密情報、顧客や取引先に関わるデータが漏洩
• 安全性の低下: 特に化学や製薬など危険物を扱う現場や重要な生産現場では、サイバーセキュリティの欠如が企業の業績のみならずに、人命に関わる問題につながる可能性。
• サブライチェーンへの影響：複数の会社に跨がるサプライチェーン攻撃へ発展する可能性。
• 経済的損失: サイバー攻撃による生産停止やその復旧にかかるコストが非常に高額になる可能性。
• 企業の社会的信用度の低下：安全管理意識が低い企業や団体組織であることが露呈。