あらゆる産業の基盤素材となる鉄鋼製品を提供するJFEスチール。製品の安定供給に向けて同社が取り組むOTセキュリティとは。5月17日に開催されたオンラインセミナー「TECH+セミナー セキュリティ 2024 May. 製造業×OTセキュリティ システムアーキテクチャの変化に伴う、セキュリティの在り方を再考する」で、JFEスチール サイバーセキュリティ統括部 主任部員(副課長)の松尾明氏が、同社のセキュリティ推進体制や実際の施策、DX時代におけるOTセキュリティの課題について解説した。
JFEグループとして、そしてJFEスチールとしてのサイバーセキュリティ推進体制
JFEグループでは、コーポレートガバナンスの仕組みの中にデジタルガバナンス機構を組み込み、グループ全体のサイバーセキュリティを統制している。その中核を担うのが2016年に創設された「JFE-SIRT」だ。ルール制定・適用、基盤の共通化といったセキュリティ関連の意思決定を担うほか、インシデント発生時には情報連携と初動対応にあたる。
中でもJFEスチールはグループ方針に基づき、2021年4月にCISO(最高情報セキュリティ責任者)直下の組織として「サイバーセキュリティ統括部」を新設した。従来の情報セキュリティに加え、各事業所のOTセキュリティ、グループ会社を含めた横断的なセキュリティ対策の強化を担う専門組織である。
OTセキュリティの推進体制には、2つの工夫がある。国内6か所の生産拠点それぞれの所長を「制御セキュリティ責任者」に任命。事業所単位でのセキュリティ推進体制を敷いた。また、各拠点のOTシステムを所管する部門には、サイバーセキュリティ統括部から兼務者を配置している。管理者層と実務者層に役割を分け、それぞれの立場に応じたセキュリティマネジメントと施策展開を担っている。
DX時代のセキュリティは「DX with Security」
松尾氏は「DX時代のセキュリティは『DX with Security』の視点が重要」だと強調する。DXは「変化による競争優位性の確保」を狙うが、システムの変化は新たなサイバーリスクも生む両刃の剣だ。セキュリティ確保とDX推進は二律背反ではなく両立させるべき経営課題という認識の下、同社のDXセキュリティ施策は進められている。
「DX with Securityの考え方は、セキュリティを守るだけでなくDXの効果を最大化するためにも必要です。そこに向けては、DXに関わる部門とセキュリティ部門とがそれぞれの視点を理解し協調していかなければなりません」(松尾氏)
