あらゆる産業の基盤素材となる鉄鋼製品を提供するJFEスチール。製品の安定供給に向けて同社が取り組むOTセキュリティとは。5月17日に開催されたオンラインセミナー「TECH+セミナー セキュリティ 2024 May. 製造業×OTセキュリティ システムアーキテクチャの変化に伴う、セキュリティの在り方を再考する」で、JFEスチール サイバーセキュリティ統括部 主任部員(副課長)の松尾明氏が、同社のセキュリティ推進体制や実際の施策、DX時代におけるOTセキュリティの課題について解説した。

JFEグループとして、そしてJFEスチールとしてのサイバーセキュリティ推進体制

JFEグループでは、コーポレートガバナンスの仕組みの中にデジタルガバナンス機構を組み込み、グループ全体のサイバーセキュリティを統制している。その中核を担うのが2016年に創設された「JFE-SIRT」だ。ルール制定・適用、基盤の共通化といったセキュリティ関連の意思決定を担うほか、インシデント発生時には情報連携と初動対応にあたる。

中でもJFEスチールはグループ方針に基づき、2021年4月にCISO(最高情報セキュリティ責任者)直下の組織として「サイバーセキュリティ統括部」を新設した。従来の情報セキュリティに加え、各事業所のOTセキュリティ、グループ会社を含めた横断的なセキュリティ対策の強化を担う専門組織である。

OTセキュリティの推進体制には、2つの工夫がある。国内6か所の生産拠点それぞれの所長を「制御セキュリティ責任者」に任命。事業所単位でのセキュリティ推進体制を敷いた。また、各拠点のOTシステムを所管する部門には、サイバーセキュリティ統括部から兼務者を配置している。管理者層と実務者層に役割を分け、それぞれの立場に応じたセキュリティマネジメントと施策展開を担っている。

DX時代のセキュリティは「DX with Security」

松尾氏は「DX時代のセキュリティは『DX with Security』の視点が重要」だと強調する。DXは「変化による競争優位性の確保」を狙うが、システムの変化は新たなサイバーリスクも生む両刃の剣だ。セキュリティ確保とDX推進は二律背反ではなく両立させるべき経営課題という認識の下、同社のDXセキュリティ施策は進められている。

「DX with Securityの考え方は、セキュリティを守るだけでなくDXの効果を最大化するためにも必要です。そこに向けては、DXに関わる部門とセキュリティ部門とがそれぞれの視点を理解し協調していかなければなりません」(松尾氏)

同社ではDX案件の推進部門とサイバーセキュリティ統括部が緊密に連携。案件の企画段階から両者で協議し、リスクに見合ったセキュリティ対策を講じている。対策の設計にあたっては、規程やルールに基づく形式的な適用にとどまらない。個別案件に即したリスクアセスメントを実施し、必要に応じて代替策を提案することで、よりきめ細かで柔軟な対応を可能にしている。

  • DX with Securityの必要性

DXを推進するためのセキュリティ施策

松尾氏は、これまでに取り組んできたセキュリティ施策の代表例を4つ紹介した。

1つ目は「社内外のリモートアクセス基盤の構築」だ。業務用端末から事業所のOTシステムへのセキュアなリモートアクセス基盤「リモートアクセスゲートウェイ」を構築した。社内向け基盤はすでに運用を開始しており、今後は設備メーカーがメンテナンスを行いたい場合などを想定してZTNAを活用した社外向け基盤の構築を予定しているという。松尾氏は「セキュリティ部門が担当するのは意外かもしれないが、事業部門がバラバラに構築するのではなく、1つの基盤としてまとめることが重要と考えた」と説明する。

2つ目は「遠隔操業システムの構築」である。製造現場では、従来は運転室に固定された操作用端末を使って生産設備を制御してきた。これをタブレット化することで、現場内を自由に動き回りながら操業できる状態を目指す。このシステムをセキュアなものにしていくためには、操作用タブレットの機能を製造エリア内に限定し、万一紛失や盗難に遭っても、エリア外からの不正操作を防ぐ仕組みが必要となる。そこで、位置制御やIDマネジメントなどを実現していく考えだ。

  • 遠隔操業システムのイメージ図

3つ目は「自社ガイドラインの制定」だ。OTシステムの導入・運用に必要なセキュリティ要件を網羅するガイドラインを作成した。同ガイドラインでは、企画・要件定義、設計・開発、運用・保守の各フェーズで守るべきセキュリティ要件を規定。システムライフサイクル全般をカバーしている。

「システムライフサイクルに合わせたコンテンツを設け、それぞれのタイミングに適したものの見方をすることでスピーディーな対応を実現していきます」(松尾氏)

  • 各フェーズで制定する自社ガイドライン

4つ目は「セキュリティ審査制」の導入である。DX案件では、短期間で機動的な開発が求められる一方、OTセキュリティは事例やノウハウ、ルールなどの整備状況が発展途上であり、従来の規程ベースで判断しようとすると成案化が難しいケースがある。そこで、審査制を導入し、案件に応じたアセスメントを行うことで、DX案件の成案化を後押ししている。ただし、案件ごとに審査を行うにはセキュリティ部門の負荷が増大することも事実だ。松尾氏は「DXという大きな流れの中で経営資源の投入を行うことが重要」だと強調した。