今こそ、サイバーハイジーンを精査するときです

今こそ、サイバーハイジーンを精査するときです

ライフサイエンス企業は、固有のセキュリティリスクに直面しています。貴社のセキュリティ体制にどの程度の能力があるか確認してください。

ライフサイエンス企業に対するサイバー攻撃は、潜在的に複雑な影響をもたらします。きわめて重要な知的所有権および患者情報が危険にさらされたり、生産が遅延したり、多くの高額製品だけでなく、ブランドアイデンティティさえも失われたりすることがあります。どの製薬会社も、必要としている患者に不可欠な医薬品を提供できなくなることなど望んでいません。

セキュリティの投資利益率(ROI)はリスク回避にありますが、このリスクがどのように企業評価および収益に対する直接的かつ重大な影響に変わるかを何度も見てきました。1つの製薬企業がNotPetyaによって3億1,000ドルを失ったことを思い出してください。影響を受けない組織などありません。

幸いにも、製薬およびバイオテクノロジ企業は、しばらく前からセキュリティ関連の規制、データ整合性、およびコンプライアンス要件に対処してきました。しかし、技術が進歩すると脆弱性も発生するため、警戒が不可欠です。

ここで、貴社の現在のサイバーハイジーンの実践に関して以下の質問に答えて、どの程度の能力があるか確認してください。

2019年には1回の情報漏洩事故の平均コストは392万ドルにまで増加しました。この電子ブックで、将来の接続された施設の保護についてご確認ください。

自社の脆弱性を認識しているか?

今日の製造環境における接続の数は、サイバー脅威に狙われる攻撃対象領域、つまり脆弱性が多いことを意味します。製品の保護とは、多層防御戦略を越えて、攻撃連続体全体のサイバーリスクに対応することを意味します。しかし、どのように行なうのでしょうか?

以下のNISTサイバーセキュリティフレームワークが、出発点に適しています。

  1. 所有しているもの(資産明細)とそれに関連するリスクを特定する。
  2. 所有しているものを保護するためにパッチ適用、追跡、アクセス制御のような保護の仕組みを活用する。
  3. 異常およびイベントがそれらの保護の仕組みをすり抜けた場合に、それらを検出する。
  4. 対応する機能を実装する。
  5. 迅速なバックアップおよび復旧をサポートするためのシステムを開発する。

これらの基本的なサイバーハイジーンの原理を正しく実装することが、効果的なサイバーセキュリティプログラムを構築し、将来のサイバー攻撃を防ぐ能力を向上させるための第一歩です。

陳腐化にどのように対処するか?

脆弱になり、陳腐化します。更新は、単なるハードウェア交換やパッチ適用ほど簡単ではありません。貴社に適用される規制および貴社の置かれた環境に注意する必要があります。

ハードウェアまたはソフトウェアを維持するリスクを評価する際は、以下の点を考慮してください。

  • この脆弱性が悪用された場合にどのような影響を受けるか?
  • 代替の緩和制御を適用することによって、この脆弱性に対応する方法があるか?
  • 方法がない場合、このアプリケーションがサポートされるプラットフォーム/ソリューション/製品への移行を正当化できるか?

正解はありません。貴社が実施している制御および予防の仕組みによっては、保護されリスクが軽減されていると感じるため、そのまま生産またはバッチの実行を継続できます。しかし、事故が発生する前にこれらの質問をして、自社のセキュリティ体制を理解し、適切な文書および制御を整備すると、自社の決定により自信を持つことができます。

製薬業務は、デジタル化と接続によって変革できます。ただし、それには堅固な産業用セキュリティ戦略が必要です。ファイザー社のアプローチをお読みください。

組織は対応する準備ができているか?

戦略を素早く明確に定義し、サイバー攻撃への対応方法を知ることができますか?準備が万全の組織は、業務部門とIT部門がそれらの質問に答えるために連携する文化を生み出します。チームがうまく協力して問題を解決することを確認してください。チームをどのように従事させますか? どのようなツールがありますか? 新しいツールが必要ですか?

共にリスクを評価して管理する定期的な評価を実施する必要があります。NISTの5本の柱を網羅したと確信しているなら、十分かもしれません。ただし、このフレームワークをより深く掘り下げ、組織を試すために、実際にチームとして挑戦してください。

多くの場合、イベントをシミュレーションするための机上訓練やミーティングを実施することが提案されます。イベントの検出後にどのように対応して復旧するかをリアルタイムで最後までやってみてください。この種の具体的な訓練は、プログラムに不足している部分があれば、それを明らかにするのに役立ちます。

考え方を変える準備はできているか?

サイバーセキュリティは、設定するだけで終わる規範ではありません。露出、リスク、および準備を絶えず理解しようと努める必要があります。内部的も外部的にも何が変化しているかを特定するために組織を厳密に調べてください。何を違った方法で行なうことができるでしょうか? どこに支援が必要なのでしょうか?

堅固なサイバーハイジーン基盤の作成に成功する企業は、単にツールや技術を購入するだけではありません。変化の文化を生み出す人および組織の側面に取り組んでいます。業務部門、IT部門、および経営陣は毎日の仕事の一環としてセキュリティを採り入れ、労働者は最終目標にどのように貢献するかを知っています。

非常に多くの危険にさらされているため、これらの問題に頻繁に注意することが、業務および収益の保護に大きな影響を及ぼす可能性があります。

Jeff Rotberg
投稿日 2020-02-17 投稿者 Jeff Rotberg, Consulting Services Business Development Lead, Rockwell Automation
  • お問い合わせ:

最新ニュース

ロックウェル・オートメーションならびに当社パートナの仕事は優れた知識を通じて、自動化の設計と導入をお手伝いしその投資がいかされるようサポートすることです。

メールマガジンの配信登録

ロックウェル・オートメーションにご登録いただければ、最新のニュースと情報を電子メールにて直接お届けします。