DX推進と並行して、サプライチェーンを含むグループ全体のセキュリティ対策強化を進める中外製薬。その中心的役割を担うのが、ITソリューション部サイバーセキュリティグループだ。ヘルスケア産業のトップイノベーターをめざす同社の原動力とも言えるデジタル戦略。今回はそのセキュリティの醍醐味に迫る。
(インタビュイー:戸田)
※中外製薬公式talentbook(https://www.talent-book.jp/chugai-pharm)より転載。 記載内容・所属は2024年8月時点のものです
脆弱性・特権管理から国際連携まで。グローバルを舞台にセキュリティの最前線に挑む
グループ全体のセキュリティを統括するサイバーセキュリティグループ。社内ルールの策定から海外拠点のガバナンス、セキュリティアーキテクチャレビュー、システムの特権管理まで包括的なセキュリティ対策を実施している。
中でも戸田が担当するのは、脆弱性管理と特権管理の高度化だ。
「脆弱性管理においては、潜在的な脅威となり得る脆弱性の特定と優先度付けを行い、各システム担当と連携して対応を行っています。また日々の運用に加えて、さらに効果的かつ迅速に対応を行うためのルール改訂にも取り組んでいます。
また特権管理では、特権管理システムの保守運用に加え、特権管理システムのレジリエンス強化や堅牢な管理手法の検討など、継続的な改善を図っています(戸田)」。
国内にとどまらず、国外グループ企業のセキュリティ管理にも携わる戸田。各国の法規制や文化の違い、さらには製薬会社特有の課題にも対応してきた。
「各国のスタッフは非常に協力的で、良い信頼関係を築けていると思います。ただし、国ごとにスタッフの考え方や方針に違いがあるため、日々のコミュニケーションを通じた調整は必須です。各拠点独自の取り組みもあるため、彼ら、彼女らの置かれている状況を理解し対話した上で合意形成を行うよう心がけています。
また、製薬会社のセキュリティには特殊な側面があります。とくに研究所や工場では、本社とは異なるシステムやインフラが使用されているため、独自の対応が必要となります。
たとえば工場はOT環境なので、Windows以外の組み込みシステムが使用されていたり、研究所には特殊なシステムを使う実験機器が数多くあったりと、通常のIT知識だけでは対応しきれないケースも少なくありません(戸田)」。
一方、中外製薬とロシュ社のセキュリティ連携実現も戸田の重要な役割のひとつ。両社の協力関係をさらに深化させるための取り組みが現在進行中だ。
「現在、両社間の情報統合と効率的な活用をめざし、基幹業務システム(ERP)の刷新と全社的な業務プロセス改革を同時に進めるプロジェクト『ASPIRE』を推進しています。
私の役割は、システム統合後のセキュリティ対策の策定や、共有システムでインシデントが発生した際の両社間での協力方針の確立など、ロシュ社との円滑な連携を実現することです。
セキュリティの位置づけや運用の仕組みなど、両社が互いの取り組みを理解することが円滑な連携の第一歩になると考えています。この協働を通じて、両社の強みを活かしたセキュリティ体制の構築が実現できると考えています(戸田)」。
キャリア8年目を迎える戸田。複数の企業でセキュリティ担当としての経験を積んできたからこそ実感する中外製薬の魅力があると言う。
「当社の最大の魅力は、社員に与えられる裁量の大きさです。目標設定からその達成方法まで、個人の判断や考えが尊重される環境があります。自分の構想を描き、目標達成まで導いていけることに、日々大きなやりがいを感じています。もちろんわからないことがあれば気軽に相談や質問ができる雰囲気もあり、心理的安全性があることも大きな魅力の一つです。
また、新技術の導入に非常に積極的である点も当社の特徴です。生成AIの活用など、他社と比較しても積極的な取り組みが多いと感じます。活用の用途も定型業務の効率化といった一般的なものにとどまらず、創薬や製薬といったコア業務への利活用が検討されており、非常に先進的です。それら最新テクノロジーのセキュリティを先駆けて検討できることは、ITに携わる者として非常に刺激的です(戸田)」。
技術とビジネスの架け橋に。セキュリティ担当としての信念が導いた新たな挑戦

大手電機メーカーでネットワークエンジニアとしてキャリアをスタートさせた戸田。予期せずセキュリティの分野に足を踏み入れたことが転機となった。
「当初はネットワークソリューションの検討・立案などを行なっていましたが、たまたまプライベートクラウドのセキュリティ設計を担当することになりました。
元々情報学科出身だったこともあり、セキュリティというと所謂『異常系』の処理を扱う複雑かつ高度な分野という印象がありました。そんな高度な業務が自分に務まるのかと当初は不安でしたが、実際に業務に携わる中で、セキュリティ対策の実現可能性や実装期間について関係者と話しながら合意形成をしていくプロセスに魅力を感じるようになりました。
すべての技術に精通する必要はなく、関係者の知見と力を借りながら進めていけばよいのだと気づけたことが自分にとっての大きな転機だったのではないかと思います。
とはいえ、セキュリティではさまざまなシステムのセキュリティ対策を検討する必要があるため、それらの技術に対して一定の知識が必要なのも事実です。当初は及び腰でしたが、自分なりにがむしゃらに取り組んでいく中で広範な知識を迅速にキャッチアップすることの楽しさに気づけたことも、セキュリティ分野に惹かれていった理由でした(戸田)」。
その後、ビジネスの観点からもセキュリティに携わりたいと考えた戸田はコンサルファームへ。そこで彼が見たのは、以前とは異なる新たなセキュリティの一面だった。
「一社目では実装や詳細設計に従事していましたが、その前段であるビジネス要件定義段階に課題があるのではないかと感じる場面が時々ありました。そこで、そのような初期フェーズからプロジェクトに関与することで、実装段階での課題顕在化を未然に防ぎ、より効率的にセキュリティ対策の計画実行を進められるようにしていきたいと思うようになりました。これが、転職を考え始めたきっかけです。
転職後、技術要件が決定される前の段階から関与することで、後続の工程がスムーズに進むことを肌で実感しました。概念的な決定を行う際に、それが今後どう具体化されていくのかをある程度イメージできたことが大きかったのではないかと思います。一社目での技術経験が活きたことは自分としても嬉しかったですね。
ちなみに少し本筋とずれますが、前職での最大の学びは『自己の能力を信じて全力疾走することの重要性』を再認識できたことかもしれません。必死で一つの問題に取り組んでいく中で、時に自身のパフォーマンスやアイデアが自分自身の想定を超えていくことがありました。その経験は今でも私を支えてくれています。
なお、一部のコンサルティングファームでは技術とビジネス要件の担当を分ける傾向がありますが、私が所属していたファームのセキュリティ部署では両方を担える人材を育成する風土がありました。実際私自身もこのふたつは不可分と考えていたので、大いにその風土に賛同しさまざまなプロジェクトに積極的に従事しました。いろいろな経験を積む中で、技術とビジネスの境界領域こそが自分のめざすキャリア像だと確信しました(戸田)」。
そして近年、中外製薬への転職を果たした戸田。この決断の背景には、セキュリティに携わる者としての強い信念があった。
「中外製薬を選んだ決め手はふたつあります。第一に、当社がDX銘柄でプラチナ評価を受けるなど、新技術の導入に積極的だったことです。多様な経験を積める環境があると考えていました。
第二に、一緒に働く社員の人柄を重視していたことです。面接で好印象を受けたことに加え、以前、中外製薬を支援していた同僚から、当社の優れた企業文化について聞いていたことも入社を決める大きな要因となりました(戸田)」。
成長を促す挑戦する風土。本質的なセキュリティ向上に専念できることがやりがいに

戸田が入社後にもっとも印象深かったと話すのが、挑戦気質に満ちた中外製薬の風土。学びの機会に富む環境が、成長を支えてきた。
「医薬品には特許の期限があるため現在の製品だけで恒久的に事業を継続することはできず、絶えず新たな価値を創造していかなくてはなりません。そのため、社内には良い意味で危機感があり、これを前向きな推進力へと転換できている点に大きな魅力を感じます。
また、失敗に対して寛容な文化があるため、チャレンジングな課題にも躊躇なく取り組め、必要に応じて同僚と協力しながら、建設的に問題解決を図ることが可能です。心理的安全性が確保された職場環境が整っていると実感しています。
さらに、同僚たちの卓越したスキルにも刺激を受けてきました。専門性の高さはもちろんのこと、主体的に課題と向き合う態度に感銘を受けました。たとえば、部門内で開催されるワークショップでは、多くの参加者が積極的に発言しています。一人ひとりが明確な考えを持ち、それを率先して共有しようとする当社の文化は非常に価値あるものだと考えています(戸田)」。
そんな中外製薬の強みを戸田が肌で感じたのが、アジャイル開発推進グループとのプロジェクトだった。
「社内アプリケーションの内製を担当するチームが作成したセキュリティ仕様のレビューを依頼された時のことです。
通例セキュリティ仕様というと著名な公開ドキュメントをそのまま利用するようなケースが少なくないので、その時も仕様詳細化や社内アプリ固有の観点の追加などいろいろな修正が必要かなと想定していたのですが、ふたを開けてみると記載の網羅性・具体性共に驚くほど高い品質でした。セキュリティ部門以外の部署でも高度なセキュリティリテラシーを持っていることに強い感銘を受けました。
多くの企業では、セキュリティに関する取り組みが後手に回りがちですが、当社ではセキュリティ部門以外でも、セキュリティポリシーの草案を作成できるほどの知識と意識が浸透しています。彼ら、彼女らの専門性と先進性の高さに驚くと同時に、当社にセキュリティ文化がしっかりと根づいていることを実感しました(戸田)」。
また、事業会社ゆえのおもしろさも感じていると話す戸田。
「SIerやコンサルティングファームの場合はクライアントから業務を請け負っている関係上、見つかったリスクは大小関係なくすべてクライアントに報告し対応を協議していく必要がありました。
一方で事業会社の社員として働く場合は、一定の裁量のもと、自分自身でリスクを判断し本質的なリスク管理に専念できます。こういった点は、事業会社ならではの醍醐味だと思います(戸田)」。
好奇心と倫理観が次世代技術を導く。デジタル戦略を支えるセキュリティの実現に向けて

入社して約1年。中外製薬のセキュリティ担当としての戸田のキャリアはまだはじまったばかりだ。
「脆弱性管理と特権管理の高度化、これらはまだ成長の途上にあります。内製化を視野に入れながら、これらを確実に完遂させることが当面の目標です。同時に、海外拠点との連携強化にも注力していきたいと考えています。
さらに、生成AIの台頭を踏まえ、業界全体の指針となるようなモデルケースの構築もめざしています。そのためには、まずセキュリティ業務における生成AIの効果的な活用方法を確立しなくてはなりません。その上で、生成AI技術自体のセキュリティをいかに担保するかという課題への対応も求められます。
生成AIの活用における注意点、保守運用上の必要事項、そして生成AIアプリケーション自体に対するセキュリティ対策について、包括的な検討を進めていく予定です。
一方で、個人的にはガバナンスとテクニカルな側面をつなぐ橋渡し役として貢献していきたいと考えています。これまでの経験を活かして、両者をより効果的に統合できるポジションに就くことができれば理想的です(戸田)」
好奇心と倫理観こそがセキュリティ担当に求められる重要な資質だと話す戸田。未来の仲間に向けて、次のようなメッセージを送る。
「セキュリティ担当にとって、好奇心は不可欠な要素です。技術革新が急速に進む中、セキュリティ分野も絶えず進化しています。新しい知識や技術を積極的に吸収する姿勢があれば、この仕事を心から楽しむことができるでしょう。
同時に、セキュリティという分野の特殊性を考慮すると、高いモラルも極めて重要です。たとえば、ハッキング技術を学んだり、時には従業員の個人情報にアクセスしたりする機会もあります。決して越えてはならない一線を理解し、それを遵守できる倫理観が不可欠です。
そういった技術的な好奇心と強い倫理観を併せ持ち、そして自身の経験から何かを学んできた経験をお持ちの方を歓迎します。勿論、テキストやトレーニングからでも多くを学ぶことができるのですが、やはり実務において自身で汗をかいて学んできた経験には及ばないというのが私の実感です。弊社にはチャレンジを大いに推奨する風土がありますので、ぜひ自分自身でいろいろ手を動かしながら試行錯誤をしてみてください。
ITソリューション部には毎年キャリアで入社する方がおり、キャリア採用者を受け入れる文化が根づいています。入社後のサポート体制についても、部門ごとに整備されたオンボーディング資料があり、わからないことがあれば気軽に質問できる雰囲気があります。製薬会社や事業会社での経験がなくても、孤立感を抱くことはまずないでしょう。
また、グローバル企業ということで英語に不安を感じる方がいらっしゃるかもしれませんが、英語力に自身がないからといって躊躇する必要はありません。確かに英語を使う業務も一部ありますが、基本的には日本国内でのやり取りが多いため多くのコミュニケーションは通常日本語で行われます。
逆に、英語を積極的に使いたい方は、海外拠点や英語を使用するベンダーとの会議に参加することで、自らそのような機会を増やすことも可能です。個人の希望や業務内容に応じて調整できる環境が整っていますので、安心して門を叩いてください(戸田)」