JFEホールディングス(HD)は2016年4月にCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の「JFE Security Integration and Response Team(JFE-SIRT)」の本格運用を開始した。グループの主要事業会社であるJFEスチールとJFEエンジニアリング、JFE商事の3社をはじめとする約6万人が働くJFEグループ共通のCSIRTという位置付けだ。

CSIRT名に特徴込める

 JFE-SIRTは各社のメンバーで構成する仮想的な組織である。サイバーセキュリティに関する重要課題を審議・決定する「JFEグループ情報セキュリティ委員会」の下部組織に当たる。同委員会は情報セキュリティ統括管理者を兼ねる執行役員が統括し、経営に関するリスクをグループで共有するための「グループCSR会議」に定期的にセキュリティの状況を報告する。

 役割は大きく三つで、一つはセキュリティのガバナンス。ポリシーを作り、各社に浸透させ、監査する。二つ目がセキュリティの監視やインシデント(事故)対応。三つ目はセキュリティを含むシステム基盤の統合である。システム基盤統合は通常のCSIRTには無い珍しい役割と言える。「だからこそJFE-SIRTのIはインシデントではなく、インテグレーションとした」とJFE-SIRTで長を務める、JFEホールディングス企画部兼JFEスチール理事IT改革推進部長の新田 哲氏は説明する。

JFE-SIRTで長を務めるJFEホールディングス企画部の新田 哲氏(右)とIT施策を担当する同部の酒田 健氏
JFE-SIRTで長を務めるJFEホールディングス企画部の新田 哲氏(右)とIT施策を担当する同部の酒田 健氏
[画像のクリックで拡大表示]

 「主要事業会社でこれまでに大きな情報漏洩事故は無いとはいえ、(事業会社の)子会社・孫会社までみると主要3社に比べてセキュリティに課題のある会社も見受けられる。全体でレベルを上げるためのシステム基盤統合である」(新田氏)。各社の背景・予算の関係でセキュリティレベルは不ぞろいだったという。

 「通常CSIRTというと消防士や警官のイメージだが、当社の場合、それに加えて基盤刷新で全体として安全な場所に引っ越しましょうというイメージだ」(新田氏)。JFE-SIRTでIT施策を担当するJFEホールディングス企画部兼JFEスチールIT改革推進部主任部員(副部長)の酒田 健氏は新しい基盤について「2016年4月から検討を開始した」と明かす。