JFEホールディングスは「JFE Security Integration and Response Team(JFE-SIRT)」と名付けたCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)を運営しており、2023年春には本格運用を開始してから満7年となる。これまで企業内のセキュリティー対応組織として、情報資産を守るための様々な策を打ってきた。
2023年現在、JFE-SIRTが力を入れるのは、製造業ならではのOT(制御・運用技術)防御だ。ITとは異なるノウハウが必要となるOTをどのように保護するのか。カギとなるのは製造知識とサイバーセキュリティーの知識、両方を持つ「二刀流」人材の確保である。
事業継続危うくするOTへの攻撃
多くの製造業がサイバー攻撃の標的となり被害に遭っている。記憶に新しいのは、2020年にホンダがサイバー攻撃を受け国内外の9工場を停止した被害だ。工場の生産が一時止まり、一部の工場は復旧までに数日を要した。2022年にはトヨタ自動車も、主要なサプライヤーの1社がマルウエアに感染したことを契機に一時生産を見合わせた。
そうした背景から、OT防御の重要性が高まっている。OTをITと同じ感覚で守るのは難しい。ITネットワークはどの企業でも世界共通の仕様に基づいて構築される。その守り方もオープンであり、ある程度確立されている。だがOTは企業ごと、工場ごとにつくりが大きく変わってくる。JFEスチールのサイバーセキュリティ統括部兼JFEホールディングス企画部の田中貴大主任部員(副課長)は「機械や製造ラインごとに、サイバー攻撃からの守り方を考える必要がある」と話す。
製造のノウハウが詰まったOTのセキュリティーを担当する人材には、製造現場の知識が不可欠だ。一方、サイバーセキュリティーの知識も一朝一夕で身に付けられるものではなく、多くの企業で人材が不足している。実際JUAS(日本情報システム・ユーザー協会)が2022年に発表した「企業IT動向調査 2022」では、69.1%の企業が情報セキュリティー担当者が不足していると回答している。ただでさえサイバーセキュリティー人材が不足する中、製造知識も兼ね備えているとなれば、容易に見つからない希少な人材となる。
