基本情報

リスク管理

リスク管理
図2:ドライブバイダウンロードのイメージ

Veeva Vault CTMSにより150社以上の企業がプロアクティブな臨床試験管理を実現

~ Vault CTMSの新たなイノベーションにより、業界全体で臨床試験のワークフローがスリム化され、試験実施を迅速化 ~

ライフサイエンス業界に特化したクラウドソリューションにおけるグローバルリーディングプロバイダー、Veeva Systems【NYSE:VEEV】(本社 : カリフォルニア州プレザントン、日本法人 本社 : 東京都渋谷区、日本法人代表取締役 : Sebastian Bather、以下 Veeva) は、150社以上のグローバル企業や急成長中の企業がVeeva Vault CTMSを利用して、クリニカルオペレーションを推進していることを発表しました。スポンサーと医薬品開発業務受託機関(CRO)はVault CTMSを使用して30万以上の試験実施医療機関と連携し、あらゆる試験フェーズにある100万人以上の患者をサポートしています。Vault CTMSの導入拡大により、ライフサイエンス企業はプロアクティブに臨床試験を管理できるようになり、より連携性の高いデジタルな未来に向けて加速しています。 (本リリースは、Veeva米国本社が発表した報道資料の抄訳です。)

Veevaは、臨床試験における重要な課題を解決するためのイノベーションを提供し続けています。例えば、試験実施医療機関のモニタリングに関し、Vault CTMSを利用しているお客様は、自動化とリアルタイムの情報共有により、施設訪問報告書の作成と提出にかかる日数を465日以上短縮できます。生産性の向上に加え、Vault CTMSを導入したスポンサーやCROはデータ品質を向上でき、より的確な情報に基づいた意思決定を行い、臨床試験を計画通りに実施できるようになります。

◉ リスクベースのスタディマネジメント機能により、臨床試験のリスクをシームレスに評価して軽減
◉ 施設訪問報告書のバージョン管理やワンクリック質問などの機能により、試験実施医療機関のモニタリングを強化して試験の実施を迅速化
◉ 臨床試験におけるオーバーサイト機能により、さまざまな問題やプロトコル逸脱の管理を容易にしてコンプライアンスを向上

Veeva Vault CTMS担当ヴァイスプレジデントのHenry Galioは、次のようにコメントしています。「Veevaは、ライフサイエンス企業がクリニカルオペレーションを改善し、患者様に医薬品をより迅速に届けることができるよう、イノベーションを提供し続けています。提供開始からわずか5年で、150社以上の企業がVeeva
Vault CTMSを導入し、臨床試験のリスク管理や施設訪問報告書のモニタリングなどの複雑な臨床試験プロセスを大幅にスリム化しています。私たちはこの業界をサポートできることを誇りに思っており、今後もお客様と協力しながらデジタル臨床試験のスピードアップとコスト効率の向上を目指していきます。」

製薬企業上位20社のうち10社、CRO上位6社のうち3社を含む多くの企業が、臨床試験オペレーションのスリム化のためにVault CTMSを利用しており、その数は今も増え続けています。Vault CTMSは、Veeva Vault Clinical Operations Suiteの一部です。CTMS、eTMF、study start-up、支払いなどに関する情報やドキュメントの共有を支援し、試験のライフサイクル全体を通してコラボレーションと効率性の向上を実現します。

IEサポート終了、法人組織が知っておくべき 3つのポイント

より効果的に攻撃対象領域を管理する方法

サポート終了により脆弱性を悪用する攻撃に注意 2022年6月16日にマイクロソフトが提供するブラウザ IE(Internet Explorer 11)のサポートが終了します(https://docs.microsoft.com/ja-jp/lifecycle/products/internet-explorer-11)。 リスク管理
OSやソフトウェアのサポート終了はニュースなどで注目されることも多いですが、今回サポートが終了になるIEは法人組織にとって非常に大きなインパクトがあると言えます。まずは、当社をはじめとしたセキュリティ会社がソフトウェアのサポート終了を注意喚起する理由を説明します。

サポートが終了するということは、そのソフトウェアに対する問い合わせなどが出来ない、ということだけではなく、原則として修正プログラムが提供されないことがセキュリティ上問題になります。「原則」と記載したのは理由があります。例えば、2017年に発生したランサムウェア「WannaCry」が悪用する脆弱性「MS17-010」は、既にサポートが終了したWindows XPなどに対しても修正プログラムが提供されました。しかし、これらは「例外」としてとらえ、法人組織はサポートが終了したソフトウェアを利用すべきではありません。

図1:脆弱性のイメージ

図1:脆弱性のイメージ

過去のIEは、わかりやすく言うとOS(Windows)の一部のような形のため、Windows Updateを行わないと更新されない(修正プログラムも適用されない)仕組みでした。しかし、IEの新しいバージョンやChrome、EdgeなどはブラウザがOSと切り離されており、ブラウザというソフトウェア単体でアップデートできます。また前述のように原則起動時に「自動更新」されるため、新しい脆弱性が見つかっても修正プログラムが提供されるとすぐに新しいバージョンの(脆弱性がない)ブラウザを利用できます。

OSやソフトウェアはバージョンアップすると便利な機能が使えるようになるだけではなく、セキュリティも強化されることが一般的
で、そのわかりやすい例と言えます。加えて、新しいブラウザの中にはサンドボックスという技術が含まれていることがあります。このサンドボックスが含まれているブラウザでは、プログラムが実行される際、隔離した領域で実行されるので攻撃してもできることが少なく、影響を最小限に抑えることができます。

図2:ドライブバイダウンロードのイメージ

図2:ドライブバイダウンロードのイメージ

「社内システムにしか使っていないから問題ない」は間違い 一般のユーザと同様にPCのブラウザで外部のWebサイトを閲覧するだけであれば、多くのWebサイトが最新のブラウザに対応しているため、あえてIEのように古いブラウザを利用しようと思う方はすくないでしょう。法人組織で問題となるのは、社内向けのポータルサイトや自社の独自システムなどを利用する際にブラウザを利用しているためと言えます。前者の社内向けのポータルサイトは、マイクロソフトが提供するSharePointなど汎用的なソフトウェアで作成している場合は、古いブラウザでないと利用できない、ということはほとんどないでしょう。

このようなケースの場合、必ずこういった声が上がります。「サポートが終了して修正プログラムが提供されなくても社内システムにしか使っていないから問題ないのではないか?」というものです。実はこれは大きな間違いです。勿論、通常のインターネットのように直接外部に接続しているわけではないので、「ドライブバイダウンロード」のように、外部から直接ブラウザの脆弱性を悪用されるというリスクは低くなります。しかし「脆弱性があるソフトウェアが含まれるPCを使用している」ということは、外部から別の手段で社内ネットワークに侵入されたのち、感染の拡大に悪用される懸念があるということです。

自社の独自システムの場合、競合他社などが持っていない自社だけが保有している重要情報が含まれている可能性もあるため、侵入された際のインパクトも大きいのではないでしょうか。

まとめ 今回IEという長年使用されてきたブラウザのサポートが終了するため、数年前から新しいブラウザへの移行を進めていた法人組織も多いことかと思います。しかし、暫く使っていなかったシステムを利用しようとしたらIEでないと動作しない・・・ということが判明することなどもあります※1。
※1 ブラウザと社内システムの互換性の問題の場合、マイクロソフトが提供する新しいブラウザEdgeのIEモードを利用することも選択肢の1つです。

COLUMN

識別、認証、認可を意味する英単語はidentification, authentication, authorizationであり、これら3点の頭文字に「説明責任(accountability)」の頭文字を加えたものを「IAAA」と呼びます。なお、説明責任とは識別、認証、認可の手続きが適切に運用されていることを確認するため、アクセスとその結果を記録することを示します。
IAAAを実現するための仕組みは「アイデンティティ/アクセス管理(identity and access management: IAM)」と呼ばれ、情報の「CIAトライアド」(機密性、完全性、可用性)を維持するための基礎を築きます。

情報自体の分類

情報を分類するための基準や区分は対象とする領域によって様々です。例えば、軍事の領域での一例では、国家の安全保障に与える被害の大きさに従ってtop secret / secret / confidential / unclassifiedの4つに情報を分類します。また、民間の領域の例では、事業に与える影響の大きさに従ってconfidential / private / sensitive / publicの4つに情報を分類したりします。いずれにしても分類する目的に応じて、区分を決定して情報を適切に分類することが求められます。

情報セキュリティ対策の実施判断ポイント

FISC安全対策基準について

FISCの概要

金融情報システムセンター(The Center for Financial Industry Information Systems: FISC)は金融情報システムに関する調査研究を行う団体であり、金融機関等コンピュータシステムの安全対策基準・解説書などの各種ガイドラインを発行しています。

FISC安全対策基準・解説書

クラウドやFinTechに対応

金融情報システムの分類
  • 特定システム:システム障害等が発生した場合の社会的な影響が大きく、個別金融機関等では影響をコントロールできない可能性がある、「システム重大な外部性を有するシステム」や、「機微情報」を有するシステム
  • 通常システム:特定システム以外のシステム
基準の構成
  • 「統制基準」:方針の策定、体制整備、人財育成等の「内部の統制」および外部委託管理等の「外部の統制」
  • 「実務基準」:「情報セキュリティ」、「システム運用」、「システム利用」、「システム開発」、「個別サービス」等
  • リスク管理
  • 「設備基準」:設備ごとの要件に関する対策等
  • 「監査基準」:監査体制の整備・手順等
基準の分類
  • 「基礎基準」:特定システム、通常システムによらず、最低限適用する基準
  • 「付加基準」:「基礎基準」以外で、理数奇特性に応じて追加・選択する基準
対策の区分け
  • 必須対策:基礎基準や付加基準の必須のもの
  • その他の対策:リスクベースアプローチによって選択的に適用されるもの

リスクベースドアプローチについて

例えば、100万円の価値のある情報が1年間に1%の確率で漏えいする恐れがある場合、被害の期待値は100万円 × 1% = 10,000円と算出されます。ここで、あるセキュリティ管理策を実施することによって漏えいする確率を1%から0.1%に低減できる場合、被害の期待値は100万円 × 0.1% = 1,000円となり、実施前後の差分は10,000円 - 1,000円 = 9,000円となります。この際、このセキュリティ管理策を実施するのに必要な年間費用が5,000円であれば、9,000円よりも金額が低いので実施すべきであると判断します。一方、このセキュリティ管理策を実施するのに必要な年間費用が10,000円であれば、9,000円よりも金額が高いので実施すべきではないと判断します。以上のように、リスクベースドアプローチを用いることによってコスト効果の高いセキュリティ管理策を選定が可能となります。

北海道で震度3

田代 邦幸

田代 邦幸

都市型水害―6月の気象災害―

永澤 義嗣

永澤 義嗣

第21回 揺れる船と舟を繋ぐ技

小原 浩之

小原 浩之

リスク対策.com編集長が斬る!今週のニュース解説

毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。

最大2.2万件のエレベーター閉じ込め発生

BCMコンサルタントが実務担当者になって分かったこと

第179回:サプライチェーンにおけるリスクをどのように把握していくか

田代 邦幸

田代 邦幸

先払い貿易契約と取引規模:流動性制約下の輸入企業

近年の国際経済学では、企業単位や取引単位のマイクロなデータを用いる計量分析が重要視されている。先駆けとなったのは、A. B. BernardとJ. B. Jensenが米国工場単位の生産性と輸出に関する1990年代後半からの一連の実証研究と、M. Melitzが企業の生産性の違いを明示的にモデル化したことが大きい。この傾向は、国際貿易の実証研究だけにとどまらず、国際金融分野における為替レートが価格に与える影響を分析する「為替レートパススルー」の分野でも重要視されている。その中には、貿易契約の詳細に踏み込む研究がある。一つは、契約通貨(invoice currency)である。貿易契約を締結する際に、輸出企業の国の通貨で契約するのか(PCP, producer リスク管理 currency pricing)、輸入企業の国の通貨で契約するのか(LCP, local currency pricing)、またはドルやユーロのような主要な第三国通貨で契約するのか(VCP, vehicle currency pricing)を分析する研究である。この契約通貨の決定に重要なファクターは、誰がどの程度の為替変動リスクを負担するのかということになる。輸出企業のリスク負担の観点からは、PCPであれば為替変動リスクはゼロである。

図

(注)論文内のFigure 1を翻訳かつ修正した。εは為替レート、P US は米ドル建て輸出価格、Xは取引数量。添え字は、第0期もしくは第1期を示す。但し、輸出価格と取引数量は契約時(第0期)に固定されている。

トルコ輸出企業の取引データを分析する本研究では、貿易契約の別の側面に焦点を当てている。支払い契約(前払い、信用状、後払い、等)である(パネルB参照)。輸出業者のリスクの観点からは、貿易契約には「代金受取リスク」と「為替変動リスク」が付随する(パネルA参照)。後払い(open account)では、輸出出荷後に輸入業者が支払いを行うために、代金を受け取れない可能性がある。また、今回の600万件を超えるデータからは約8割がドル建て並びにユーロ建てで契約が行われていることを示すため、契約から支払いまでのラグによる為替変動リスクの顕在化も大きい。一方、前払い(CIA, cash-in-advance)においては、輸出出荷前に輸入業者が支払いを行うために代金受取リスクが解消され、さらに契約と代金受取のラグ期間が短縮されるために為替変動リスクも小さくなる。輸出企業にとっては、明らかに前払いの支払い契約が望ましいのである。しかし、トルコ輸出企業が前払い支払契約を締結しているのは、600万件超の取引全体の19%にも満たない。

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる