JFEスチール、重要性が高まるOTセキュリティへの対応力を高める

　「製鉄プロセスでは、まず原材料を高炉内で1500度超の温度で溶かし銑鉄を作る。その先の製鋼プロセスでは鉄の成分をppm（0.0001パーセント）精度で調整し、最終製品の寸法はマイクロメートルという精度が求められる。これらのプロセス全般を制御するのが『鉄鋼制御システム』であり、当社のOT（Operational Technology）システムである」--。JFEスチールのサイバーセキュリティ統括部（兼務）東日本製鉄所 京浜地区 制御部 主任部員の松尾 明 氏は、こう語る（写真1）。

写真1：JFEスチール サイバーセキュリティ統括部（兼務）東日本製鉄所 京浜地区 制御部 主任部員の松尾 明 氏

　JFEスチールは2003年、川崎製鉄とNKK（日本鋼管）が経営統合して誕生した製鉄会社。JFEグループの鉄鋼部門として事業を展開している。生産拠点は国内に6カ所を擁する。

対策の推進にはOT部門とセキュリティ部門の相互理解や協調が大切に

　高まるサイバーセキュリティの脅威に対しJFEグループは、グループ全体のサイバーセキュリティの管理組織「JFE-SIRT」を2016年から設置している。JFEスチールとしては2021年、セキュリティの専門組織「サイバーセキュリティ統括部」を創設。従来の情報セキュリティに加えて、事業所のOTセキュリティとグループ会社を含めた横断的なセキュリティ対策に取り組んでいる。

　JFEスチールが目指すOTセキュリティ像としては、（1）OTセキュリティの必要性や特性、要件がきちんと理解されていること、（2）OT部門とセキュリティ部門がそれぞれの視点を理解し協調していること、（3）OTセキュリティに対し適切な経営資源が投入されていることの3つを挙げていると、松尾氏は説明する（図1）。

図1：JFEスチールがめざすOTセキュリティ像

　なかでも本質的な対策の推進には、「相互理解や協調が非常に大事になる」と松尾氏は指摘する。「大事なことは正論を言い合うことでなく、双方の立場や視点を理解して理解する、双方が歩み寄ることだ」（同）とする。

　参考として松尾氏は、OTセキュリティの成熟度挙げる。成熟度のレベル1は、OTセキュリティに関する必要性や特性、要件がまだ社内に理解・周知できていない状態で「まずはその必要性を理解してもらう必要がある」（同）

　レベル2は、基本的な理解はできているが、OT側とセキュリティ部門の協調が図れていない状態だ。例えばOT側は「（OTセキュリティは）事業を阻害する要素の1つであり、設備故障や自然災害などのリスクを優先してもよい」と考え、セキュリティ部門は「セキュリティはOT部門が自発的に取り組まなければ意味がない」と主張する。