顧客事例 - JFEエンジニアリング株式会社(神奈川県横浜市)

JFEエンジニアリング株式会社様(以下、本文中敬称略)は、2018年3月、各種プラントの統合監視センター「グローバルリモートセンター」を開設しました。同センターの特徴の一つに挙げられているのが、CSMS認証取得によって強化されたセキュリティマネジメントです。CSMS認証を取得した理由、コンサルタント会社選定の経緯、さらに取り組みの成果などについて、CSMS推進チームの皆様にお話を伺いました。

(JFEエンジニアリング株式会社について)

JFEエンジニアリング

JFEグループの中核企業。「くらしの礎(もと)を創り、くらしの礎を担う」企業として、人々の生活と産業を支える総合エンジニアリング事業を展開している。主な事業は環境・エネルギー分野を中心とした社会インフラ整備、橋梁等の鋼構造や産業機械(タービン、エンジン等)の建設・製作等である。また天然ガス関連や廃棄物、下水汚泥をエネルギーとして利用する技術に取り組むほか、太陽光・地熱・バイオマス等の再生可能エネルギーによる発電プラントも多数手掛けている。さらにプラント建設にとどまらず、プラントを活用した事業運営まで一貫して関わるビジネスや、農業、医療など新しい分野への事業展開にも注力する。設立:2003年4月。従業員数:約4,000名。本社:東京都千代田区。

(グローバルリモートセンターについて)

SHIELDサービス

AI・ビッグデータを活用し遠隔で各種プラント運転の負荷低減や自動化を行う統合監視センター。プラントの運転支援、発電の最適化、海外プラント監視・サポート、プラント以外の設備診断・メンテナンスといった機能を備える。従来は2014年に開設した「リモートサービスセンター」で環境プラントの監視・運転支援を行う他、バイオマス発電プラント、太陽光発電設備、水処理プラントなど商品ごとにリモートサービスを提供してきた。グローバルリモートセンターはそれら分散していたサービスを集約する目的で開設された。今後支援対象のプラントを順次拡大していく計画である。開設:2018年3月16日。

ジェイティ エンジニアリングへの依頼内容:CSMS認証取得支援サービス

ジェイティ エンジニアリング(以下、JTE)へのご依頼内容をお話しください。

JFEエンジニアリングは2017年7月、JTEへグローバルリモートセンター(以下、GRC)を適用範囲とするCSMS認証取得のコンサルティングを依頼しました。7月に契約し、コンサルタントの福田さんに認証取得までの道のりをサポートしていただきました。そして翌年2月16日付で認証を取得しました。

グローバルリモートセンターの開設に備えCSMS認証を取得

CSMS認証取得の理由をお話しください。

「CSMS認証取得を通して
制御システムセキュリティの
ベースが構築できました」
(技術本部ICTセンター
小幡寛氏)

弊社がCSMS認証を取得した理由は、2018年3月に開設したGRCのセキュリティ体制を整備するためです。

GRCでは各種プラントの遠隔監視サービスなどを受託しています。しかしプラントとGRCをネットワーク経由でリモート接続することに対し、オーナー様からセキュリティ面を不安視される懸念がありました。各種プラントのオーナー様に対し、より安心してサービスをご利用いただくには、セキュリティレベルが一定以上に保たれていることを示す必要があります。

そこで制御システムにフォーカスした国際規格のCSMS認証を取得しました。

また、認証取得を通してセキュリティポリシーを明確に定めることで、サービスを提供する弊社にとってもセキュリティレベルを維持しやすいと考えました。

セキュリティ分野の国際規格としてはISMS/ISO27001(以下、ISMS)がありますが、ISMS認証という選択肢はございませんでしたか。

いいえ。CSMSとISMSは考え方は似ていますが、制御システムを対象としたセキュリティの認証としては、CSMS以外には考えられませんでした。

国際規格を適用することで、運用の負担が重くならないかご懸念はございませんでしたか。

確かに意識はしましたが、今後事業を拡大する上ではマスト(Must)であるという認識のもとに取り組みました。それはトップマネジメントの考えでもあります。

ただ結果としては今回のCSMS認証取得を通じ、GRCのシステム運用上で大きく変えたことはありません。弊社のソリューションとして無理のある理想を掲げても、GRCの運用にひずみが生じるだけです。そこでマネジメントシステムの構築は、国際規格の要求を満たすことはもちろんですが、GRCの運用実態との乖離が生じないようバランスを取りながら行いました。

コンサルティング会社選定の経緯とジェイティ エンジニアリングに依頼した決め手

CSMS認証取得に向け、まず取り組んだことをお話しください。

「プレゼンテーションの内容と
対応の早さがJTEに依頼する
決め手となりました」
(制御技術センター 室長
妹尾光敏氏)

まずCSMS推進チームを立ち上げました。次にそれぞれメンバーが関連書籍や認定機関が発行するガイドラインなどを読み込んだ上で、CSMS認証取得をサポートしていただけるコンサルタントを探しました。

コンサルタントのサポートを受けずに自社取得する選択肢はありませんでしたか。

自社取得は考えませんでした。その理由は2つあります。

(1)短期間で確実に認証を取得するため

CSMS認証取得の意思決定をしたのは2017年6月です。その段階でGRCの運用開始予定としていた2018年3月までに取得したいと考えていました。約10ヶ月間で認証を取得するには、専門的な知識を持った方のサポートが必要であると考えました。

(2)CSMS認証基準の理解を早く深めるため

CSMS認証基準である国際規格(IEC 62443-2-1)は、原則主義で要求事項を規定しているため、抽象度の高い文章表現となっています。読み慣れていない者としては、具体的に何をどう進めたらいいのか、その内容を把握するのが困難でした。セキュリティ分野での認証取得は弊社で初めてとなること、社内規程との整合性を考慮したマネジメントシステムを構築する必要があること、さらにはCSMS認証の取得事例に関する情報が少ないことなどから、コンサルタントの力を借りなければCSMS認証取得は難しいと考えました。

JTE以外にも候補は何社かありました。その中でJTEを含め4社から話を聞きました。

どのような方法で選定していきましたか。

CSMS認証の適用範囲とするGRCの概要を説明し、GRCの運用に合致したマネジメントシステムを構築するためにどのようなコンサルティングをしていただけるのか、ご提案をいただきました。各社と複数回に渡って話をし、最終的にJTEに依頼しました。

最終的にJTEに依頼した決め手を教えてください。

弊社が目指していることに対し、最も明確な答えをいただけたことが決め手となりました。安心感がありました。弊社が目指したことは、国際規格の要求を満たしつつGRCの運用との乖離がないマネジメントシステムを構築し、2018年3月までに認証を取得することです。その中でも特に重要だったのがスケジュールの期限です。話を聞いた4社のうち「3月までに取得できる」と明言したのはJTEだけでした。またご提案書が出てくるタイミングも早かったので、迅速な対応が期待できました。

CSMS認証取得までの取り組みとジェイティ エンジニアリングのサポート

CSMS認証取得までの流れをお話しください。

「セキュリティの基準が明確に
なったので、今後はプラント
の構築にも活かしていきます」
(制御技術センター
橋本武喜氏)

コンサルティングの冒頭で福田さんに3月のGRCオープン予定日から逆算した工程表を組んでもらい、そのスケジュールに沿って作業を進めました。

大まかな流れとしては、2017年7~9月にマネジメントシステム構築および文書作成を行い、10月に運用を開始しました。そして認証評価の外部審査となる第1段階審査を12月に、第2段階審査を2018年1月に受審しました。

3ヶ月間でマネジメントシステムの構築および文書作成を完了されたとのことですが、どのような方法で行いましたか。

CSMS認証基準に適合したセキュリティポリシーや記録様式などの文書を作成する必要があります。毎週のように福田さんと打ち合わせを重ね、JTEが作成したひな形をベースにマネジメントシステムの構築および必要な文書類の作成を行いました。基本的にはひな形をベースに打ち合わせをしながらまとめ上げ、それを10月以降の運用フェーズで修正を加えていきました。

御社側の作業としてはどのようなものがありましたか。

基本方針、資産管理表、体制図、ネットワーク構成図など、弊社が主体となるべきものはCSMS推進チームで作成しました。チームのメンバーだけでは判断が難しいことがあれば、社内の関係者と調整を取りながら作業を進めました。

マネジメントシステムの構築および文書作成はスムーズにできましたか。

JTEのサポートを受けたことで3ヶ月という短期間でベースを構築できました。サポートを受ける前に自分たちでガイドラインなどを読み始めた時は、いったいどうなるのか不安でいっぱいでした。福田さんにCSMS認証基準と社内規程との対応関係を丁寧に教えてもらうことで、理解しながら前に進めることができました。また弊社内で行うべき作業内容や期限を明確に示していただけたことで、迷うことなく作業を進めることができました。

10月から実際の運用を開始されたとのことですが、具体的にはどのようなことをされましたか。

「我々がやるべきことを明確に
示していただけたので作業を
円滑に進めることが
できました」
(制御技術センター
山谷智美氏)

まずは従業員教育を行いました。リモートサービスに携わるスタッフなど関係者全員を対象とし、福田さんに講師を務めていただいて実施しました。またCSMSの推進会議や委員会なども実施しなければいけません。それらと並行してマネジメントシステムの改善を進め、内部監査、マネジメントレビューを実施しました。

内部監査はどのように実施されましたか。

内部監査は福田さんに社内の監査員メンバーに対する監査員教育を実施していただいた上で行いました。また内部監査当日も立ち会っていただきました。

外部審査の受審はいかがでしたか。

第1段階審査の前にあらかじめ、福田さんから模擬審査を受けていたので、万全な体制で臨むことができました。

指摘事項はございましたか。

第2段階審査で改善のリコメンドを数点いただきました。それらの指摘事項への対応は、審査終了後のフォローアップとして、福田さんに考え方を教えていただきました。改善のリコメンドは必ずしも対応する必要はありません。実情にそぐわなければ対応しないという選択肢もあり得ます。その場合は対応しないと判断する根拠を明確にする必要があります。そういった判断をするための考え方を福田さんに教えていただきました。具体的にどう対応するかは次のサーベイランスに向け、福田さんのアドバイスをもとにして社内で検討しているところです。

CSMS認証取得で獲得した知見をプラント側の制御システムにも活かしたい

今回の取り組みの成果をお話ください。

「福田さんはセキュリティ
全般の課題に対する相談が
できるコンサルタントです」
(技術本部ICTセンター 部長
根津知男氏)

まずGRCの開設にCSMS認証取得が間に合ったことが第一の成果です。認証の適用範囲を限定したことも、マネジメントシステムの構築が比較的スムーズにできた要因の1つでした。このタイミングでなくても、将来的には必ずセキュリティの強化が求められます。そう考えればいち早くスモールスタートできて良かったです。

またCSMS認証基準が何を要求しているのかが理解できたこと、制御系のセキュリティポリシーが構築できたこと自体も大きな成果です。GRCのシステムだけではなく、プラント側に導入するシステムのセキュリティを考える上でも参考にできます。

国内ではこれまで産業用システムのセキュリティ対策は強く意識されていませんでした。しかし今後は産業用システムにも高度なセキュリティが要求されるようになるでしょう。そのような時に今回獲得した知見は活かしていけると考えています。

「CSMS認証基準が何を要求しているのか、なぜそのような規格になっているのか
丁寧に教えていただけました。制御システムセキュリティへの理解が深まりました」
(左前から山谷氏、根津氏、妹尾氏。右前から小幡氏、橋本氏)※右奥は弊社 福田

ジェイティ エンジニアリングへの評価と期待

JTEのコンサルティングはいかがでしたか。

福田さんのコンサルティングは、単にCSMS認証を取得するためだけのコンサルティングではありませんでした。今回CSMS認証を取得する過程で非常に助かったのは、制御システムセキュリティに対する我々の理解が深まったことです。CSMS認証基準が何を要求しているのか、どのようなコンセプトでそのような規格が作られているのか、どのような解釈が可能なのかといったことをメンバーに丁寧にご説明いただきました。そのおかげで今回認証を取得した範囲では、社内でしっかりとPDCAが回せる運用体制ができました。

JTEへのご期待をお話しください。

制御システムや情報システムを運用するにあたり、セキュリティ関連の課題は尽きることがないでしょう。目先の課題としてはGRCの支援対象プラントの拡大に伴う、CSMS認証の適用範囲拡大があります。また先ほど申し上げたようにGRC以外の制御システムにおけるCSMS認証取得もあるかもしれません。そういった課題に向き合う際、我々だけでは手に負えないことも出てくると思います。今後の適用範囲の拡大についても、ご協力いただけることを期待しています。

JFEエンジニアリング株式会社様、お忙しい中、ありがとうございました。


※JFEエンジアリング株式会社のWEBサイト

※取材日 2018年3月

ページトップへ