内部監査・外部監査

舞台は引き続き日本のプライム市場上場のグローバル医薬品企業「東亜製薬」。主人公である行政書士・山崎は、法務とサイバーセキュリティ双方の知見を携え、この会社の顧問として前回のサイバー攻撃・内部不正問題を乗り越えてきました。

本編では、その後に待ち受ける「内部監査・外部監査」の波が、どのように東亜製薬のセキュリティ体制を再構築し、更なる高みへ押し上げるかを描きます。

第一章：監査の予兆

前回のランサムウェア攻撃から三か月。大規模な被害を被った東亜製薬だったが、山崎が中心となって進めたインシデントレスポンス計画が奏功し、主要システムや研究データをある程度復旧し、グローバルな事業継続にも大きな支障は出さずに済んだ。しかし一方で、内部犯行が絡んでいた事実や、会社の「内部統制の甘さ」が世間に知れ渡ったことに対しては、社内外の厳しい声が寄せられた。

経営陣も今回の事件を深刻に受け止め、監査部と法務部を中心に徹底的な再発防止策を模索していた。さらに、外部監査（第三者認証機関や規制当局）からも調査が入ることが決定された。米国で新薬承認申請中のプロジェクトがあり、FDA（アメリカ食品医薬品局）からはCFR Part 11（電子記録や電子署名の要件）に関する厳格な遵守が強く求められる。加えて、医薬品製造の国際基準であるGAMP 5に準拠したシステムバリデーションの再点検も不可避だった。

山崎はその日、本社の会議室で監査部長の安藤から呼び出しを受ける。「山崎さん、お忙しいところすみません。今回、内部監査と外部監査の両方で、セキュリティ体制の抜本的見直しが要求されることになりました」安藤は硬い表情で続けた。「NISTやISO 27001レベルは、すでに一応満たしているという建前になっている。しかし今回の事件で露呈したのは、製薬業界特有のGAMP 5やCFR Part 11、ICH Q10などへの踏み込みが浅いこと、そして何より内部統制が不十分だったこと。ここをちゃんとクリアしないと、FDAからの承認プロセスにも支障が出かねません」

山崎は静かにうなずき、内部統制の甘さを改めて痛感していた。足立という内部協力者が悪意ある外部ハッカーと結託していた事実は、まさに組織の脆弱性を象徴していた。「大丈夫です。今回の監査、逃げずに受け止めます。その上で、ゼロトラストやクラウドSIEM、UEBAなど、業界最先端のセキュリティソリューションを総合的に導入して、しっかり『再発防止』を証明しましょう。」

第二章：内部監査の洗礼

早速、監査部のメンバーが情報システム部や研究開発部、生産管理部の各部門へ立ち入り調査を開始した。バインダーに分厚い監査リストを携えた若手監査員たちが、現場のシステム担当や品質管理担当に次々と質問を投げかける。

• 「この研究所のコンピュータ化システムはGAMP 5のカテゴリどおりにバリデーションされていますか？

  • CSV（Computer System Validation）の記録を見せてください」

• 「CFR Part 11対応の電子署名について、誰がどのタイミングで署名し、監査証跡をどう管理していますか？」

• 「内部統制として、情報システム部の権限管理フローはどのようになっていますか？　変更管理記録や承認プロセスなどの書類を確認させてください」

現場の担当者たちは質問の多さと厳しさに困惑するが、山崎は法務の立場からそれぞれをフォローし、必要な書類やログを取りそろえていく。問題点が浮かび上がるたびに、新たな運用ルールを作成すべきかどうか、また既存のセキュリティポリシーを改訂すべきか、頭を悩ませる。

「山崎さん、こちらの研究データ管理サーバですが、アクセス権限の見直しが必要ですね」と監査員の一人が言う。「研究職であってもプロジェクトに関係ないデータにアクセスできるアカウントが散見されます。これは内部犯行リスクが高いですよ」「その通りですね。早急に権限ロールを再設計し、必要最小限のアクセスに絞りましょう」と山崎。「また、電子署名関連の要件については、CFR Part 11に準拠しているはずですが、一部の電子記録に監査証跡が不十分なところがあります。」「了解です。そちらもシステムログをクラウドSIEMに集約して、自動的に監査証跡を整理できる体制を目指します。」

東亜製薬はNIST CSF（Cybersecurity Framework）やISO 27001に基づく管理策を一通り整備していたが、製薬独自の要件――GAMP 5の「適正管理基準」や「システムライフサイクル管理」、ICH Q10の「医薬品品質システム」、CFR Part 11の「電子署名・監査証跡の要件」――に関しては、まだ書面上の規定が追いついていない箇所が散見される。とりわけ「誰がいつ、どのようにシステムを改修したのか」を厳格に管理していない事例が目立っていた。

「内部統制が甘い、というのはこういうことなんですね……」山崎は自嘲気味につぶやく。足立のように管理者権限を乱用していたケースが、今回で完全に防げる体制にできるのか。自分自身に問いかけながら、頭をフル回転させて対策案を練る。

第三章：外部監査という試練

内部監査の真っただ中、今度は外部監査のアナウンスが届く。米国からFDAの監査官が来日し、本社と主要研究所のシステムを直接調査するというのだ。さらに、第三者認証機関による定期監査も重なるタイミング。これにはCISO（最高情報セキュリティ責任者）や社長も相当神経をとがらせていた。「ここで不備を指摘されると、新薬承認にも影響が出るかもしれない。頼むぞ、山崎くん」社長から直々にそう言われ、山崎はプレッシャーを感じながらも意気込んだ。

FDA監査官として来日したのは、白髪混じりの厳格そうな男性、ジョンソン。彼の目はプロフェッショナルそのものであり、わずかな書類の記述ミスも見逃さない。山崎が情報システム部の責任者や研究部門のCSV担当者を交え、英語の資料を片手に案内して回る。「私たちは今回のサイバー攻撃インシデントを踏まえ、電子記録の完全性と電子署名の信頼性をさらに高める措置を講じています。まずはCFR Part 11に照らしたログ管理と監査証跡の仕組みですが……」ジョンソンは黙って資料をめくり、端末の画面をチェックしている。「なるほど。ログをクラウドSIEMへ集約しているのは良い。しかし、どのようにバリデーションしたのかも重要です。GAMP 5のライフサイクル管理に則ったテスト・バリデーション手順を提示できますか？」「はい。こちらがシステム導入時からのバリデーションプロトコルとレポートになります。変更点が生じるたびに再バリデを実施し、手順書を更新しています」山崎は監査官の目を見据えて差し出す。

さらにジョンソンは、今回のランサムウェア騒動への対応についても厳しく問いただした。「大規模なサイバー攻撃を受けたと聞きましたが、電子署名や監査証跡への影響はなかったのですか？　データ改ざんや漏洩のリスク評価は？」山崎は臆さず答える。「はい、被害が最も大きかったのは従業員のクライアントPCでした。電子記録を保管するサーバ群はオフラインバックアップや多層防御を施しており、一部侵入を許したものの迅速に隔離しました。監査証跡が改ざんされていないことを検証するため、SIEMに集約されたログとオフラインで保管しているハッシュ値を照合しています。」

ジョンソンはその説明に納得したのか、次の質問へ移る。「良いですね。では、内部統制上の課題はどう補強していますか？　再度内部犯行が起きない保証は？」そこで山崎はゼロトラストと**UEBA（User and Entity Behavior Analytics）**の構想を語った。「今回、我々はユーザーの行動を常に分析し、通常と異なる操作があれば即座にアラートが上がる仕組みを導入しようとしています。さらに、**従来のネットワーク境界型の防御を捨て、ユーザーとデバイスを常に検証し続ける“ゼロトラスト”**の考え方を採用します。管理者権限でも、むやみにシステムへフルアクセスはできません。すべて証跡が残る上に、AIによって“不自然な操作”が推察されれば遮断されます。」

ジョンソンは厳格な表情のままだが、「なるほど、それは興味深いアプローチだ」と小さくうなずく。ここが合格点を得られれば、FDA監査としては一つのハードルを越えるだろう。

第四章：更なるセキュリティ強化

外部監査をクリアするためには、具体的なシステム導入とポリシー改定が急務だった。山崎は情報システム部長の小野、セキュリティアーキテクトの佐伯らと連携し、大きく二つの柱で計画を進める。

1. ゼロトラスト・アーキテクチャ構築

   • 各端末（PC、サーバ、研究装置など）やユーザー（研究員、工場スタッフ、営業など）が社内リソースにアクセスする際、必ず多要素認証や端末コンプライアンスチェックを要求。

   • いわゆる“ネットワーク内部＝安全”という前提を捨て、アクセスごとに厳格な承認を行うポリシーを導入。

   • 管理者アカウントであっても、すべての行動が記録され、必要最小限の権限だけ付与される。

   • 既存のファイアウォールやVPNに加えて、クラウドプロキシを活用し、拠点や端末ごとのセキュリティポリシーを細かく制御。

2. クラウドSIEM ＋ UEBA

   • ログ収集基盤を従来のオンプレSIEMからクラウドSIEMへ移行し、スケーラビリティとAI分析機能を強化。

   • UEBA（User and Entity Behavior Analytics）によって、通常の振る舞いから逸脱したアクセスや操作をリアルタイムに検出。

   • 例えば、研究職のアカウントが深夜に製造ラインの制御サーバにアクセスしたり、1分間で数百ファイルにアクセスした場合など、ヒューリスティックかつ機械学習ベースの異常検知を行う。

監査部門から指摘のあったセキュリティポリシーも大幅に改定する。アクセス権限の定期見直しルール、管理者アカウントの多要素認証必須化、サプライヤーや外部委託先へのセキュリティ要求事項などが盛り込まれ、分厚いマニュアルが完成する。GAMP 5のライフサイクル管理に関する文書も刷新され、変更管理プロセス（Change Control）が明文化された。「今度こそ、“足立”のような事件は起きないだろう」山崎はそう胸中で誓う。

第五章：監査当日、そして未来へ

迎えた監査当日。外部監査機関の担当やFDAのジョンソンらが再び本社に集合し、二日間かけての集中監査に臨む。山崎は監査対応チームのまとめ役として、各部門の資料と証拠書類を段取りよく提示していく。

• ゼロトラスト関連の設計図

• クラウドSIEMのログ画面、AIの分析結果サンプル

• バリデーション関連文書（GAMP 5対応、変更管理プロセス）

• CFR Part 11対応の監査証跡と電子署名のデモ画面

各種質問を受けながらも、大きな指摘や不備は見当たらない。むしろ、クラウド型のSIEMとUEBAを組み合わせた先進事例として、監査官たちは熱心にメモを取っている。

そして、監査最終日の夕方、ジョンソンが総括コメントを伝えに現れた。「非常に興味深い改善を拝見しました。大規模なインシデントから短期間でここまでセキュリティ体制を強化できるのは、トップマネジメントのコミットメントと、山崎さんのような法務と技術を横断するリーダーの存在が大きいのでしょう。CFR Part 11やGAMP 5の要件もかなり満たしていると判断します。もちろん細かい改善点はありますが、FDAとしてもあなた方の取り組みを前向きに評価しますよ」

その瞬間、会議室には安堵の空気が広がった。社長やCISOはホッとした表情で、山崎に軽く笑みを投げかける。「どうやら大丈夫そうだな、山崎くん。ありがとう」「いえ、これからがスタートです。ゼロトラストやUEBAが完璧に機能するには、まだ運用面で課題も出るでしょう。それに、攻撃者は常に手口を進化させてきます。今回OKでも、明日にはまた新しいリスクが生まれます。」

山崎の言葉は決して大げさではない。医薬品企業として守るべきデータは常にサイバー犯罪者の格好の標的だ。一瞬たりとも油断はできない。社内の人間模様も一筋縄ではいかない。まだまだ変化を嫌う部署もあれば、新ルールに疲弊する声も出てくるだろう。だが、経営陣の意識改革が進み、現場のエンジニアや研究者もセキュリティの重要性を肌で感じている今なら、変われるはずだ。

終章：次なるステージへ

監査後、山崎はオフィスの一角で静かにログモニターを見つめていた。クラウドSIEMのダッシュボードには、世界中の拠点から上がってくる膨大なイベントが一覧表示され、AIの分析により異常スコアがリアルタイムで算出されている。「今のところ目立った異常値はなし…か。よし、順調だ」

つい数か月前までトラウマだったランサムウェアや内部不正の痕跡は、今やきちんと記録された教訓として残り、新たなセキュリティ体制を築く礎となっている。山崎は深い息をつき、視線を窓の外へ向ける。東京の高層ビル群を背に夕日が沈もうとしていた。

「この会社はまだまだ強くなれる。NISTやISO 27001を基盤に、業界特有のGAMP 5やCFR Part 11、ICH Q10まで含めた厳格な体制を整備した今こそ、世界最先端のセキュリティ企業になる余地がある。そこに、俺の役目がある限りは…。」

背後では監査部の安藤が社員たちを労い、情報システム部長の小野やアーキテクトの佐伯がささやかな祝杯を挙げている。飲み会の誘いが飛んでくるのも時間の問題だろう。山崎はスマートフォンを取り出し、法務部とセキュリティオペレーションチームのチャットグループに次のようなメッセージを打ち込む。

「送信」を押して、微笑む。社内の人々とともに、一層高いセキュリティレベルを目指して。夜の帳が降りても、その戦いに終わりはない。けれど、前を向く覚悟がある限り、東亜製薬はさらに強固な守りを築き、グローバル医薬品企業としての信用を揺るぎないものにしていく——そう、山崎は確信していた。

――（完）――