革新的医薬品創出を支えるデジタル戦略とCloudbaseの活用

中外製薬株式会社

「革新的な医薬品とサービスの提供を通じて新しい価値を創造し、世界の医療と人々の健康に貢献する」ことをミッションとして掲げている中外製薬株式会社。1925年創業のがん・バイオに強みを持つ研究開発型の製薬企業として、抗体医薬をはじめとする独自の技術とサイエンスにより、革新的な医薬品を世界の患者さんに届けています。

＜お話を伺った方＞

デジタル戦略推進部 アジャイル開発推進グループ 小山様

ミッションについて

弊社が掲げる成長戦略「TOP I 2030」は、「世界最高水準の創薬の実現」と「先進的事業モデルの構築」を二つの柱としており、これらを実現するキードライバーの一つがDXです。また、DXに関しては「CHUGAI DIGITAL VISION 2030」を掲げ、3つの基本戦略を設定しています。

1. デジタルを活用したRED領域*の高度化

2. 全てのバリューチェーンにわたる生産性向上

3. イノベーション創出を支える全社基盤の構築

*REDはResearch（研究）とEarly Development（早期開発）の総称

私が所属するデジタル戦略推進部のミッションは、ビジネス×デジタルで新しい価値創造をリードすることです。バリューチェーンに対応する各部門と連携をとりながらデジタル戦略の立案や協業プロジェクトの推進を担当しています。

システム開発についてお話ししますと、弊社では従来はパートナー企業にシステム開発・運用を外注することがほとんどだったのですが、2019年に設立されたデジタル戦略推進部ではアジャイルな内製開発により、クイックにサービスを提供し、価値検証して良いものであれば社内の業務に展開する取り組みを推進しています。

導入前の課題

内製開発をスタートしてしばらくは、エンジニアが数名だったこともあり体系立ったセキュリティ対策を実施できていませんでした。当時は限られたリソースの中で開発に集中する必要があり仕方のないことだと思ってはいましたが、その後リスクが高い領域に対しては何らかの施策が必要と考え、以下の2つの項目を最優先事項に設定しました。

• CI/CDにビルトインしたセキュリティ検査ツールの導入

• CSPM領域の製品導入

昨今はクラウドの設定ミスにより情報が漏洩する事例が増えており、リスクが高いという認識を持っていました。また、将来的には私達は何らかの医療情報を取り扱うシステムを内製開発するケースもあるでしょう。医療情報、とりわけ患者様のデータを漏洩してしまうことは決してあってはなりません。

そんな時、Cloudbaseと出会い機能評価をさせていただきました。結果的に以下の3つのポイントが決め手となり、導入を決めました。

1. リスク検出の性能が十分あり、ダッシュボード上で各種コンプライアンスの準拠が明示されるため、導入根拠として社内への説明がしやすかった点

2. 重要なリスク情報に絞って提示されるため、エンジニアにとって必要なアクションがわかりやすい点

3. 日本語UIとサポート

活用方法

内製開発を行っている部分にCloudbaseを適用し、DevSecOpsを構築してリスク管理を実施しています。開発が後工程に進むにつれ、セキュリティリスクを修正するコストは大きくなります。この課題を解決するため可能な限り前工程でリスクを検出することで、開発コストの低減が叶いました。

本来行うべき開発に集中するために、DevSecOpsによるリスク管理が我々にとっては非常に重要です。もしCloudbaseを利用しない場合は、クラウドの設定ミスがないか調査するためにS3、EC2、VPC、セキュリティグループなどの設定を目視で確認することになりますが、網羅的な把握は難しくなります。

導入後の効果

Cloudbaseを利用していなかった頃、インフラのセキュリティリスクの検知・評価はエンジニア個人の勘や経験をもとにしたものになりがちでした。今では誰もが一定の品質で網羅的に検査できるようになり、エンジニアの負荷が軽減しただけでなく、属人性を大きく減らせました。また、Cloudbaseは「どのように修正すべきか」を日本語でわかりやすく提示してくれます。それらを見ながらエンジニアチームで定期的にディスカッションすることで、単なるリスク低減にとどまらず、セキュリティの観点でどのようにインフラを設計・設定すれば良いかベストプラクティスを学習できています。そのおかげもあって、これまで私たちが内製開発したシステムではインシデントが発生していません。

また、セキュリティ対応に費やすエンジニアの工数が軽減された結果、本来のアプリ開発、つまりビジネス上の価値を実現する機能実装や改善により集中できるようになったことも、導入効果の一つと考えています。

今後の展望

現在、Cloudbaseに習熟しているのは私を含めまだ少数のエンジニアです。今後はどのエンジニアでも開発したシステムに対してCloudbaseを導入し、検出結果を理解し、DevSecOpsの運用を自分たちで回せるようにナレッジトランスファーを推進していきます。そして弊社の内製開発を支える中心的なソリューションの一つに位置付けたいと考えています。