課題と選択
働き方改革・業務効率化のため、
他拠点・在宅からセキュアにリモートアクセスできる環境を整備したい
最重要ミッションである鉄鋼製造プロセスの安全・安定稼働を支えるため、制御システムのリモートアクセス強化を検討
サイバーセキュリティ統括部 制御システムセキュリティグループでは、JFEスチールのDX推進を支える3本柱の一つである「ITリスク管理強化」に向けて、生産プロセスの制御を行うOT(Operational Technology)ネットワークのセキュリティ対策の強化に取り組んでいます。同部の制御システムセキュリティグループリーダーを務める小林氏は「OT領域、特に製鉄所においては24時間365日の継続的な安定稼働が求められます。万が一、コントロールが失われれば操業が停止するだけでなく、場合によっては安全面や環境面を含む周囲にも影響が及びます。そこで、OTネットワークへのリモートアクセスのセキュリティを強化すると同時に、働き方改革や業務効率化を推進することになりました」とプロジェクトの背景を語ります。
広大な製造拠点のリモートアクセス環境の整備に向けて特権ID管理対策を見直し
JFEスチールの製造拠点は全国に6カ所あり、各製鉄所・製造所はプロセスコンピュータ(プロコン)と呼ばれるOTネットワーク上のサーバーから、自動制御装置や分散型管理システムなどを介して制御され、安定稼働を実現しています。
これらOTシステムによってコントロールされる工場(ここでは製鉄プロセスを担う一つ一つの製造ラインを言う)は全社で数百あり、各拠点の広大な敷地内に点在しています。中には事務所から車で30分近くかかる場所に設置されているものもあり、敷地内の装置や機器を一つ一つ点検して回るのに多くの工数を要していました。従って、業務の効率化とトラブル発生時の対応の迅速化を目的にOTシステムへのリモートアクセスが行われるのは必然的な流れであり、特権ID管理の仕組みが未整備のまま許容されていたのが実情でした。
リモートアクセスにおいて懸念されたのがセキュリティリスクです。松尾氏は「プロコンへのアクセスはACL(Access Control List)で通信制限を行っていたのですが、一度ACLで許可された作業者は、以降継続的にアクセスできるだけでなく、場合によっては異動後もそのままアクセスできる状態になっていることがありました。当時は事業所内でのリモートアクセスのみを許可していたとは言え、こうしたアクセス経路が残ることはセキュリティリスクであり、事業リスクになりえる点が懸念材料でした」と当時を振り返ります。
また、同リモート操作はスキルのある作業者がトラブル発生時などに即応できる体制として、事前の作業申請等のフローはありませんでした。ネットワークレベルでのアクセス制御は行っていたものの、誰がどのような作業をしたかという履歴を残していない点も改善の余地があったといいます。そこで、リモートアクセスの整備にあたってこうした体制を見直し、申請承認のフローを構築することにしました。
「セキュアなリモートアクセスの仕組みを実現するためには特権ID管理ツールによる対策が必要と判断しました。また、この時期には『セキュリティは"コスト"ではなく"投資"』という考え方が社内で定着しつつあったこと、そしてセキュア化を進めることで、在宅からのリモートアクセスを許可するといった方針がその後押しとなりました」(松尾氏)
ファイル入出力管理は作業の健全性担保に有効と評価、永久サポートも採用の後押しに
ツールの選定に際しては、システム子会社とともに以下の要件をベースに比較・検討を行いました。
・ 特権アクセスの申請・承認のワークフロー機能を備えていること
・ 多様なOTシステムとの親和性が高いこと
・ 操作証跡を取得できること
複数の製品を調べた結果、上記要件をすべて満たしている2製品が候補に残り、最終的にファイルの入出力管理などの付加機能が備わっている点が決め手となって、エンカレッジ・テクノロジの特権ID管理ツール「ESS AdminONE」の採用が決まりました。
また、ESS AdminONEは、幅広いシステムを管理できる点が特長で、正式サポート対象外のシステムであっても、一部機能は制限されるものの管理することが可能です。そのため、WindowsクライアントOSやOT系の独自OSなどを管理対象にできる点も評価のポイントになったといいます。
「リモートアクセスにおける作業の安全性担保という観点では、在宅環境からのリモートアクセスも許可する前提であったことから、ファイル入出力管理機能は非常に有効だと考えました。また、永久サポートも決め手の一つとなりました。制御システムでは10年以上の長期にわたって同一のシステムを使い続けることが多く、利用ツールの更新も慎重になるのですが、ESS AdminONEは利用バージョンが古くなっても保守サービスが継続して提供されるため、長期にわたる手厚いサポートが期待できます」(松尾氏)
導入と効果
OTネットワークのセキュリティ強化と、作業の効率化を同時に実現
アクセス経路が集約され外部からの攻撃リスクが低減、設定工数も4分の1に
ESS AdminONEの導入により、アクセス元の環境に関わらずアクセス制御が可能になるとともに、作業ミスがあったときも証跡が残っているため速やかに原因を特定できるようになりました。また、仮に悪意のあるアクセスがあったとしても、ESS AdminONEで不正アクセスを検知できるため、外部からの攻撃リスクは低減し、ログの調査も短時間で済むようになりました。
「設定作業も大幅に効率化されました。従来のACLによるアクセス制御では、人事異動等での通信制限設定を行う際、その対象は『アクセス対象のシステム』×『経路上のネットワーク機器』×『接続ユーザー数』という膨大な数になるため、完了までにおよそ20営業日が必要でした。それがESS AdminONE導入により5営業日以内で済むようになり、工数は4分の1以下になりました」(二瓶氏)
よりセキュアなリモートアクセスが実現、在宅や拠点を越えた操作にも対応
当初、現場ではESS AdminONEの導入により作業の手間が増えるのではないかという懸念もありましたが、在宅でのリモート作業が可能になったことで、その利便性が評価されて受け入れられました。特にリモートアクセスが禁止されていた拠点では、いちいち制御機器やネットワーク機器を回って点検する必要がなくなり、迅速なトラブル対応も可能になりました。以前からリモートアクセスを認めていた拠点でも、在宅からの操作が可能になったため、休日・夜間にトラブルが発生した際も担当者が出社する必要性が減り、よりスピーディに対応できるようになりました。
また、研究所のスタッフが複数拠点のデータを比較・分析するような場合は、自ら出張してデータを集めたり、各拠点にデータ収集を依頼したりしていましたが、拠点をまたがるリモートアクセスが許可されたことで、出張のための費用や時間の削減などにもつながっています。
図 ESS AdminONE導入後のJFEスチール様
展開
更なるセキュリティ強化に向けて、ESS AdminONEの管理対象の拡大も
現在、国内の各拠点でESS AdminONEを使用する環境の整備中であり、既にその半数ほどが整備済みで、さらに拡大していく予定です。ESS AdminONEの管理対象を全社に広げることができれば、よりセキュアなOTネットワークが実現するだけでなく、ACLの設定作業も不要になり、作業者の負荷軽減につながると期待しています。
エンカレッジ・テクノロジは、これからもJFEスチール様のシステムの安全と安定稼働の支援に努めてまいります。
※本内容は、2024年11月時点のものです。