「桶の理論」で全ての連結子会社約250社を徹底管理
この体制の中核的存在となるのが、JFE-SIRTだ。JFE-SIRTは、ガバナンス(ルール制定・適用、教育・訓練の実施、監査の実施)、技術対策(セキュリティ基盤共通化の検討やグループ会社への展開)、事故対応力の強化(システム監視や事故対応、外部機関との連携などインシデント対応)の3つの機能を擁する。
セキュリティ監視対象は、国内外の基幹システムおよびサーバ、端末など合計6万ノード。EDRなどを導入し、早期対処と被害拡大の防止に励んでいるという。
酒田氏は、セキュリティレベルは組織全体で均一化されるため、一部のレベル低下が全体に影響するという「桶の理論」を取り上げ、グループ全体のセキュリティレベル向上に向けて全連結子会社の約250社に対してガバナンスの徹底を実施していると説明した。その一つが、監査の実施だ。2016年から開始し、情勢や自社の状況に合わせてアップデートや改善を実践しているという。「地味だが、非常に大事な取り組みだ」と酒田氏は話す。
このほか、人材育成および教育については、IPAの産業サイバーセキュリティセンター(ICSCoE)が提供する中核人材育成プログラムに毎年人員を送り出すほか、国内外の経営層および一般社員向けにセキュリティ教育や標的型メール訓練を毎年実施。技術対策については、社用パソコンをキッティングしてグループ各社に配送するなど、グループ全体のインターネット接続におけるセキュリティ対策の共通化を行っている。経済性とセキュリティレベルの向上を図っている状況だ。
グループ全社を巻き込んで、ゼロトラスト移行に挑む
順調にガバナンス体制を整えたJFEグループは今、DX戦略内に今後の展開として挙げられた次の4つのテーマに向けて動き出している。4つとは、「OTセキュリティへの取り組み強化」「製品・サービスのセキュリティ対策」「ゼロトラストの実現」「セキュリティ組織の新設」だ。
1つ目のOTセキュリティへの取り組み強化は、同グループにとって自然な流れと言える。サイバー攻撃とは無縁と思われてきたクローズドネットワークベースのOT領域も、デジタル化やDX推進の中で社内ネットワーク含む外部との接点が増加。だが対策をしようにも、常時稼働が必須のOT領域のシステムを止めるような形で手を加えることはできない。
そこで現在、酒田氏たちは比較的新しいOS端末については許可したソフトウェア以外は動作させないホワイトリスト型端末防御を導入し、それ以外についてはIT/OT境界の通信の常時監視および通知の仕組みを実装していると話す。
「悩ましいのは、異常検知したときにシステムの性質上、すべてを自動化できない点」と酒田氏は明かす。どうしても人的判断に依らざるを得ない部分が残ることから、製造領域に携わる人たち向けにセキュリティ教育・訓練を毎年実施している。ソフト面でのインシデント対応力の強化を目指しているという。
2つ目は、製品・サービスのセキュリティ対策だ。最近はJFEスチールのソリューション外販サービスやJFEエンジニアリングのプラント遠隔操業・保守サービスといった、鉄鋼製造に関するノウハウを活かしたSaaSを開発、展開する。これらサービスを安心して利用してもらうために、ISMS認証を取得するなど、ガバナンス強化を実施している。酒田氏は「将来的には、PSIRT(Product Security Incident Response Team)の設置も視野に入れている」と話した。
3つ目は、ゼロトラストの実現だ。「BtoB企業なので、あまり際立ったWebサービスの仕組みを持っているわけではないが、社内システムの老朽化を機にクラウド移行が進んでおり、リモートワークや外部コンピューティングの利用も拡大している」と説明する。酒田氏はそうした変化に合わせて、セキュリティ対策も境界防御からゼロトラストにシフトしようと現在取り組んでいるところと述べる。
計画では、まず製造所や製鉄所などで稼働する操業システムは境界防御を徹底。その他のクラウドを含めたグループ全体のネットワーク環境はゼロトラストに移行したいという。
「グループ全体に適用することを目指しており、かなり大きな挑戦になる」(酒田氏)
