医薬品製造受託機関(CMO)をセキュアに保つ

セキュアなサプライチェーンは自社から始まり、すべてのパートナを取り込む

もちろん、どの医薬品会社にとっても、サイバーセキュリティが万全なサプライチェーンへの第一歩は、自社のインフラおよび基幹製造施設から始まります。社内的に、サイバーセキュリティに対してリスクベースのアプローチを取り、多層防御(DiD)戦略に基づいてグローバルなベストプラクティスに従って優先順位を付け、テクノロジ、ポリシー、手順を適用する必要があります。

医薬品会社は、リスクアセスメントにより、必要なセキュリティレベルをどのような受託プロセスにも確立することもできます。

次のハードルは、受託製造を依頼しようと検討中のCMOが、サイバーセキュリティに対して医薬品会社と同じ姿勢、同じレベルの厳密さで臨んでいるかどうかを判断することです。ここでも、CMOのセキュリティに対する姿勢を評価して、この目標を達成するために、サイバーセキュリティのリスクアセスメントが重要な役割を果たします。理想的には、契約製造メーカの現場で評価を行なってから契約を結ぶ必要があります。

評価では、CMOの全体的なセキュリティに対する姿勢を見定める他にも、医薬品会社の事業資産をリスクにさらすようなギャップも特定します。次に医薬品会社は、どのようなソリューションによってそのようなリスクを軽減し、自社のシステムからCMOのシステムを適切に分離しながらも、重要なプロセスや情報を確認できるかを判断します。適切なソリューションには、ネットワークセグメンテーション、特別に構築したファイアウォール、セキュアなリモートアクセス、セキュリティゾーン、その他のテクノロジが含まれます。
 

セキュリティ規格によるコンプライアンスの維持

最終的に医薬品会社と契約製造メーカは、従うべきセキュリティ規格について合意する必要があります。しかし、みなさんご存じのように、規準について合意することとコンプライアンスを維持することは別物である場合があります。

このため、サプライチェーンのサイバーセキュリティに対するリスクベースのアプローチをCMOシステムの設計、配備、モニタにまで拡張し、製造資産と情報インフラの所有権にもそれを拡張する必要があります。所有権に関して言えば、関連リスクの度合いに応じて、医薬品会社には次の3つの選択肢があります。

• CMOが製造資産と情報インフラを所有する。このアプローチでは医薬品会社の設備投資が最小になります。ただし、セキュリティに対する適切な姿勢を維持しながら見落としを最小限にするための専門知識がCMOにあることが前提となります。
• CMOが製造資産を所有し、医薬品会社が情報インフラを所有する。CMOの既存の製造資産を利用するため、医薬品会社の設備投資は最小化されます。医薬品会社が情報インフラを所有して管理しますが、一般的にこれはセグメント化したネットワークで産業用データセンターを介して配備します。
• 医薬品会社が製造資産と情報インフラを所有する。医薬品会社の資本コストはかさみますが、セキュリティのレベルは確実に高まります。CMOが提供するものは、生産スペースと機器を操作する人材のみです。

サービスとしてのインフラストラクチャ(IaaS)の利点

医薬品会社は、CMOのアプリケーションが多岐にわたるため、情報インフラの所有権をにぎることが賢明な選択であると判断するかもしれません。しかし、複数の契約製造施設にわたってセキュアなインフラを配備してモニタすることは困難であることが判明する場合があります。

何よりもまず、CMO管理を担当する部署では、自由に使えるリソースが限られています。社内ITに頼っても、社内ITは基幹の製造システムと企業システムに専念しているため、これは一般的に選択肢にはなりません。社内には、数十から数百におよぶ契約製造施設の管理を引き受けるだけの余力がないのです。

インフラの配備とそのモニタをサードパーティに外注することは、効率的でコスト効率の高い選択肢となる可能性があります。サービスとしてのインフラストラクチャ(IaaS)のプロバイダは、統一されたアーキテクチャ、および共通のサービスによる標準的で検証済みのシステムを世界中の複数の契約製造施設で実現できるためです。

一般的な契約には、ネットワークやインフラの停止からサイバーセキュリティ違反におよぶ問題と異常に関する四半期ごとのレポート、およびそれへの対応時間を規定するサービス品質保証契約が含まれます。

製造の外注を合理化してサイバーセキュリティリスクを軽減できるIaaSとその他の産業用ネットワークサービスについては、こちらをご覧ください。