JFEスチール、重要性が高まるOTセキュリティへの対応力を高める

対策1：自社ガイドラインの制定

　OTシステムに合わせて必要なセキュリティ要件を検討し、システムライフサイクルに合わせて「OTセキュリティガイドライン」を規定化した（図2）。

図2：JFEスチールはOTセキュリティの自社ガイドラインを制定している

対策2：IT/OTネットワークの分離

　ラインの重要度に合わせてITとOTの両ネットワークを分離し、業務を分担している。最も重要なラインにおいては「OTの領域内にもファイアウォールを設け、そこを通過する通信を検査している」（松尾氏）という。

　JFEスチールは今、DX（デジタルトランスフォーメーション）推進基盤の一環として、外部からの攻撃から保護するための緩衝領域「I-DMZ（Industrial Demilitarized Zone）」の構築を進めている。松尾氏は、「産業ゾーン（OT）と企業ゾーン（IT）の間に『産業用の緩衝領域』を設けOTへの直接の攻撃を回避する、IoT（モノのインターネット）など新しい領域の取り組みを後押しする環境として検討・整備している」と明かす。

対策3：クラウド利用時の審査

　OTシステムへのクラウド利用が進む中、「積極的に活用を進めるためにも、セキュリティの担保が必要になる」（松尾氏）。そこで、ITシステムと同様、OTシステムについてもセキュリティ基準を満たしているかどうかをセキュリティ部門が事前に審査し、安全なクラウドサービスを利用できるようにしている。

対策4：社内外のリモートメンテナンス基盤の構築

　DXや働き方改革が進む中では、OTシステムのメンテナンスについても、リモートメンテナンスの導入の緩和・強化が重要なテーマになっている。JFEスチールでは「認証・認可、証跡を保存できるリモートメンテナンス基盤を構築し、セキュアな社内リモートメンテナンスを実現した」（松尾氏）

対策5：OTセキュリティ教育

　一般社員向けとOTシステム所管部門向けの2通りのeラーニングを開講している。層別教育や職務教育の中にもOTセキュリティを組み込み、全社でセキュリティ意識の向上に取り組む。

対策6：OTセキュリティ訓練

　事故対応強化を目的に、部門間あるいは部門独自のセキュリティ事故訓練を実施している。より専門性が高い訓練として、社外サービスを利用した競技演習形式の「CTF（Capture The Flag）」や簡易的なフォレンジック訓練なども実施している。