JFEスチール、重要性が高まるOTセキュリティへの対応力を高める

OTセキュリティの推進に向けOT部門、セキュリティ部門、経営層がなすべきこと

　こうした取り組みを通じて得られた知見から松尾氏は、OT部門、セキュリティ部門、経営層のそれぞれに提言する。

OT部門への提言＝可用性の再考 ：製造現場のシステムは、可用性を重視したOT専用のシステムと機器で構築されてきた。だが近年は、IT化に伴い汎用システム・汎用機器が採用されるケースも多くなっている。

　一般的に、汎用システムは専用システムに比べ製品サイクルが短く、サポート期間も短い。そのため松尾氏は、「機器ごとに個別の可用性要件を明確にし、可用性が高い機器はネットワーク対策などの間接対策で保護し、可用性が低い機器についてはアンチウィルスソフトウェアの導入やパッチ適用などの直接的な対策で保護するなど、IT／OTが融合するシステムにおいてはSLA（サービスレベル契約）を重視した設備と運用の設計が重要だ」とする。

セキュリティ部門への提言＝伴走支援の体制構築 ：ITセキュリティと比べOTセキュリティは、まだまだ発展途上にある。そこで「セキュリティ対策はOT部門に任せっきりにするのではなく、ルールを定めるところから、設備の設計・運用・監査に至るまで、セキュリティ部門が伴走し、協力しながら進めていく必要がある」（松尾氏）

経営層への提言＝セキュリティを経営課題ととらえた、しかるべき経営資源の投入 ：OTセキュリティが発展途上であるがゆえに課題も多い。その解決のためには「適切な経営資源の投入が大事だ」と松尾氏は強調する。

自社だけでなくサプライチェーンや社会全体を守る

　サイバーセキュリティを取り巻く環境の変化について松尾氏は、「JFEグループのDX戦略方針にもある通り今後は、自社や自グループを守るだけでなく、サプライチェーンや社会全体を守る観点を持った取り組みが必要だ」と考える。特に「DXの進展によってOTセキュリティの重要性はさらに高まっている」（同）。そのためJFEスチールでは、新たな状況に適したサイバーセキュリティ管理体制をグループ全体で確立しようとしている（図3）。

図3：グループ全体で新たなサイバーセキュリティ管理体制を構築する

　組織面では、JFE-SIRTを中心としたセキュリティ管理から、「OT部門の継続的な強化に取り組み、自社製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時に対応するPSIRT（ピーサート：Product Security Incident Response Team）の創設も検討している」（松尾氏）

　技術面では、従来の境界防御の考え方から、信頼性を常に検証する「ゼロトラスト」のセキュリティモデルの導入も重要なテーマになる。

　そして人材面では、「グループ全体でセキュリティ資格の保有者数を100人超にすることを目指している」（松尾氏）という。「これら3つの観点から、JFEスチールとしても、今後の環境変化に対応したセキュリティの確保・強化を進めていく」と松尾氏は力を込めた。