HOME > 導入事例 > JFEスチール株式会社様

導入事例

細かく確実にセキュリティを制御できる点を評価
AppGuardでOT環境を保護し、
DX with Securityを推進するJFEスチール

業種:製造業

JFEスチール株式会社 様

売上規模:2兆7700億円

JFEスチールは競争力の強化に向けて、DXを推進しています。同時に強化しているのが生産現場、いわゆるOTのセキュリティであり、DXの取り組みとセキュリティを両輪で進めるDX with Securityの方針を掲げて活動しています。
クローズドだった生産現場がオープン環境に変わっていくことを考え、制御システムを操作する端末の保護に、オフライン環境でも動作し軽量かつ厳密にセキュリティを守れると評価し、AppGuardを採用しました。

現場を理解するメンバーを中心に「DX with Security」を推進
JFEスチールは、製銑・製鋼・圧延などを一貫して行う世界有数の鉄鋼メーカーであり、2020年には「JDXC:JFE Digital Transformation Center」を設立し、鉄鋼製品や工場設備、生産プロセスに関する膨大なデータを共有、活用し、競争力をさらに高める取り組みを進めてきました。
「現場に即したOTセキュリティを推進するため、OTセキュリティグループのメンバーの多くは元々製鉄所の制御システムを担当してきた人間であり、現場の事情を理解し、現場と調整しながら対策を進めています」(JFEスチール サイバーセキュリティ統括部制御システムセキュリティグループリーダー 小林泰輔氏)
確実にセキュリティを制御できる点を評価し、AppGuardを採用
JFEスチールの生産システムはこれまでPurdueモデル()に基づいてITとOTを分離し、階層的に管理することでセキュリティを担保してきました。しかし、DX化に伴い無線・クラウド経由で現場のデータを収集・監視したい、試運転調整や制御機器の調整・メンテナンスなどをリモートで行いたい、といったニーズが多くなってきました。
「社内の各部門がDXや業務効率化を進めることは会社の存続のために必要なことですが、それにより生じるセキュリティリスクの増大により我々の事業にとって最も重要な鉄鋼製造システムが被害を受けることになっては元も子もありません」(同グループ兼東日本製鉄所 制御部 制御技術室 松尾明氏)
そこでまず、主要なシステムからOTセキュリティを強化する取り組みを始めましたが、その一つに現場で制御オペレーションに用いる端末の保護があります。いまやこれら端末はWindowsのような汎用OS端末が使われています。「クローズドなネットワークを前提に、バージョンアップをせずそのまま使い続けているものが多々あります。外部との接続経路が増えるとそこからの攻撃が懸念されますし、仮にクローズドのままだとしても、過失か意図的かに関わらず、USBメモリやメンテナンスPCなどを経由して悪意あるソフトウェアが入ってくれば、ひとたまりもないと考えました」(小林氏)
ですが現時点でクローズド環境に制御機器が点在する以上、定義ファイルの更新が必要なパターンマッチング方式のウイルス対策ソフトは適しません。よりOT環境に適した対策を調査する中で見出したのが、AppGuardでした。
「OT環境では、あらかじめ許可されたアプリケーションのみを動作させるホワイトリストの利用が考えられますが、それだけで十分なのか、という不安がありました。AppGuardは、ホワイトリストの概念とは異なるアプローチを採用しており、独自の特許技術『制御ルール自動継承』など、セキュリティ強度が高く、懸念されるポリシーの作り込みも、使用する機能が限定的で長期に渡り変化がないOT環境の端末であれば容易なはずだと考えました。」(小林氏)
また、OTならではの動作条件にマッチしていることも評価しました。
「OT端末は頻繁に更新することはなく長期間使用し続けますが、AppGuardはソフトの保証期間が切れたとしても、機能に問題がない限りは設備の寿命まで継続して使い続けられる点も評価しました」(同グループ兼、西日本製鉄所(福山地区)制御部 制御技術室 川上理香氏)

Purdueモデルとは、工場などの産業用制御システム(ICS)に対して、機能階層ごとに分けて、各階層に応じたセキュリティ対策を講じていく考え方です。

被害が現実のものになる前に、予防的に対策を実現
JFEスチールは2023年4月から徐々に最優先するシステム端末への導入を進めています。製鉄所は24時間365日稼働でしていますが、AppGuardは順調に稼働しています。「OT端末がマルウェア感染したことはありますが、幸いこれまでのところ深刻な事象には至っていません。我々の環境で本当に深刻な事態が発生すると被害は甚大です。その前に予防的に対策を進めていくことが重要だと考えています」(同グループ 二瓶真光氏)
導入にあたっては、制御システムメーカーとの調整が必要になったのも事実で、メーカーの立場からすると、導入後にサードパーティのソフトウェアをインストールされると再度その動作保証が求められます。そこでJFEスチールとメーカーとで連携を取りながら、よりよい解決策を模索している最中です。理解を示していただいたメーカー製のシステムを皮切りに、設備更新のタイミングに合わせて導入を進めていく計画です。
「我々の生産を支えている制御システムは、日本の重電メーカーによるものが多くあります。同じ国産メーカーとして協調し、OTセキュリティ対策として弊社以外の多くの製造業にAppGuardが広がっていくことを期待しています」(小林氏)

模擬プラントとAppGuardを組み合わせたインシデント体験訓練も計画
JFEスチールは引き続きさまざまな大量のデータを活用し、DXを推進しつつ、セキュリティ対策の手も緩めずに取り組んでいきます。グループ会社やサプライチェーンのセキュリティ対策と人的対策も重要ですが、簡易型の模擬プラントを作成し、インシデントを体験してもらう取り組みを計画しており、この模擬プラントにAppGuardを組み合わせ、どんな攻撃を阻止できるか実際に示すことで、対策の必要性を理解してもらうアイデアも考えています。(川上氏)
社会基盤を支え続けるJFEスチールの挑戦
「鉄は国家なり」という言葉がありましたが、製鉄業は日本の社会を支え、牽引してきました。JFEスチールはこれからも社会の基盤を支えるため、AppGuardも活用しながらセキュリティ対策に取り組んでいきたいと考えています。

PDFをダウンロードする

AppGuard Enterprise
JFEスチール株式会社
埼玉医科大学病院
千葉市社会福祉協議会
福井県越前市
NCS&A株式会社
東洋テック株式会社
特定医療法人佐藤会 弓削病院
ANA
宮城県白石市
戸田建設株式会社
株式会社カクダイ
株式会社ファイバーゲート
大興電子通信株式会社
株式会社エコ配
PCIグループ
AppGuard SBE
社会保険労務士法人出口事務所
AppGuard Server
社会医療法人財団慈泉会 相澤病院
名寄市立総合病院
津山中央病院
NCS&A株式会社
AppGuard Solo
日本テニス協会
株式会社No.1
関東学院大学法学部 山田有人教授
ネクシアス株式会社
ビズアドバイザーズ株式会社
アクトアドバイザーズ株式会社
AppGuard Enterpriseについて

お問い合わせはこちら 製品について詳しくはこちら