第4回:トヨタ コネクティッドカンパニーが語るコネクテッドカーのサイバーセキュリティ対策(後編)
自動車サイバーセキュリティを評価する業界共通のプラットフォームの重要性とトヨタ自動車が開発した「高拡張性ポータブル自動車セキュリティ・テストベッド(PASTA)」について、話を聞きました。
マツダ山﨑氏が語るサプライチェーン全体でのセキュリティ活動(後編)
特別対談シリーズ「車両サイバーセキュリティの未来」第2回
セキュリティ対策という“協調領域”を業界全体でつくりだすために
後編も引き続き、マツダで広義のセキュリティを担当する山﨑 雅史 氏に、安全確保という「協調領域」を業界全体でつくりだすための自動車のセキュリティ、そしてITにおける安全とは何かを聞きます。(文中敬称略)
(左から)林 和洋、山﨑 雅史氏、奥山 謙
対談者
マツダ株式会社 MDI&IT本部主査
グローバルセキュリティ担当 山﨑 雅史 氏
PwCコンサルティング合同会社 デジタルトラスト
パートナー 林 和洋(写真左)
PwCコンサルティング合同会社 デジタルトラスト
シニアマネージャー 奥山 謙(写真右)
マツダ株式会社 MDI&IT本部主査 グローバルセキュリティ担当 山﨑 雅史氏
重要論点:サプライヤーによる設計段階でのセキュリティ対策
奥山:
CASE(Connected、Autonomous、Shared、Electric)の考え方が出てくる前と後では、セキュリティの体制や考え方などにどう変化が起きましたか。
山﨑:
ライフサイクルやサプライチェーンを考えると、私たちの内部の話、外部の話があります。
品質の作り込みという点では、私たちOEM側が最終責任を持ちます。お客さまの使い方がイレギュラーであったとしても、できる限り安全に扱えるよう説明してきました。自動車の中では、開発の前提条件を基に要件を分析し、何が必要かをベースに設計してきています。それに関しては、セキュリティが入ってきたとしても全く変わらない部分でしょう。
奥山:
従来の安全の取り組みに、セキュリティの取り組みが追加されるのですね。
山﨑:
安全に向けた取り組みは、機能安全と実用安全に分けられます。機能安全とは最低限、自動車メーカーとしてここまでは絶対に行う必要がある部分です。実用安全には各社の考え方が出ます。企業の歴史として、これまで表面化した不具合のフィードバックを積み重ねたものでもあるでしょう。その判定基準こそが、性能や競争力の源泉になります。そこに、セキュリティ要素を開発側として組み込もうとしているわけです。
林:
もう一方の外部の話についても聞かせください。
山﨑:
外部の話で重要なのは、部品を提供してもらうサプライヤーの観点です。まさに、安全とセキュリティの要素が変わってくる部分です。これまではスペックを満たしてもらうのが、私たちがサプライヤーに求める事柄でした。大げさに言えば、機能に影響がなければ、バグがあってもある意味「良し」とされていた時代とも言えます。
しかし、これからは、セキュリティの要件に関しては、私たちが規定するだけでなく、サプライヤーが主体となって、世の中にある脆弱性情報やインシデントの発生情報を含め、しっかりとした設計をしてもらうことを求めていきます。現時点で分かっていることは、対処した上で納品してほしいのです。また、これらの活動をTier1と呼ばれる一次サプライヤーだけでなく、Tier2、3……nまで全てのエリアで実施してもらい、サプライチェーン全体でセキュリティ対策を進める必要があります。
自動車として販売した後は、研究機関などの外部組織、例えばPwC Japanグループのようなところがしっかりと脆弱性を発見してくれると考えています。そういうところから、いち早く情報を入手し、迅速に対処することが求められています。そこが従来の品質と異なる部分です。
製品セキュリティ性能を担保する専門家としてのサプライヤー
林:
セキュリティの要素が入ったことで、OEMとサプライヤーとの関係性も変化していくのでしょうか。
山﨑:
OEMの立場としては、サプライヤーにはその領域の専門家であることを期待しています。製品やシステムに関する専門知識を持ち、その部分をサプライヤーがしっかり担保しています。そこには、セキュリティの話も含まれていることを期待します。
サプライヤーと話して感じるのは、自動車を製品という形でとらえ、品質にとどまらず、付加価値を生み出そうとするマインドが高いことです。しかし、部品ではない部分、例えば部品工場や、生産管理の部分のITセキュリティに関しては、その意識が希薄で、丸ごとベンダーに任せているところもあります。
製品のセキュリティ性能を担保することは、周りの環境も含めて考えることも必要だと考えています。そのため、専門家であるサプライヤーには、製品の性能品質だけでなく、それを作るためのオペレーション領域のインフラまで監視、管理の目を行き届かせてもらい、セキュリティを担保してもらうことを期待しています。
PwCコンサルティング合同会社 デジタルトラスト パートナー 林 和洋
PwCコンサルティング合同会社 デジタルトラスト シニアマネージャー 奥山 謙
マルチなエンジニアを育てる難しさ―人材育成は大きな課題
奥山:
次は「人」のお話を聞きたいと思います。今後、山﨑さんも次の世代を育成しなくてはならないと思うのですが、その点はいかがでしょうか。
山﨑:
大きな課題です。私たちの固有技術やOEMとしての知識を知っている必要は当然ありますし、セキュリティにも取り組まなくてはなりません。サプライヤーをはじめ、外の世界も知る必要があるでしょう。それらをバランスよく知る人を育てるのは非常に難しいことです。マルチなエンジニアを育てる難しさには、どの自動車メーカーも直面しています。
例えばセキュリティを学んでもらうために、情報系の大学に通わせたとしても、セキュリティのエンジニアから自動車のエンジニアとして活躍できるようにするためにはもう1段階学んでもらう必要があるわけです。技術は学べても、それを応用して実際に自動車の開発や製造のプロセスに生かすには、かなり難しいステップを経る必要があります。
林:
そうなると、やはり内部での育成が重要ということでしょうか。
山﨑:
OJT型の育成が圧倒的に優位です。基本技術は自動車エンジニアとして、5年なら5年というある程度の期間をかけて学んだ後で、さらに深めていくのか、もしくはプラスアルファとしてセキュリティを学んでマルチなエンジニアになるか、ということになるでしょう。
一方、外部から採用する場合、例えばソフトウェア領域でコード解析して脆弱性を発見できる人材など、私たちがもともと持っていない技術領域における専門性を求めています。そういった分野では常に最新技術を学ぶ必要があるため、社内に抱えてしまうとその技術が陳腐化した際にリスクが発生します。その意味で、社内で育成するのは難しいと言えます。
業界をつなぐ「協調領域」としてのセキュリティ
奥山:
ここまでのお話で、これからの車両セキュリティ確保は、マツダさん1社ではできないことも多くなってきていると感じます。
山﨑:
そのとおりですね。
今後必要になる連携には二つの側面があります。一つはOEMとしての連携。もう一つはOEMだけでなく、業界をつないでの連携です。
業界全体として、「Japan-Auto-ISAC」をはじめとする取り組みがあります。マツダは米国におけるAuto-ISACのボードメンバーでもあります。私も年に1回はサミットに参加して、各社と情報交換をしています。特にセキュリティにおいては人的ネットワークが重要ですので、どこにだれがいるかを把握するようにしています。
奥山:
自動車業界においては、Japan-Auto-ISAをはじめとしたさまざまな団体で、各OEMメーカーのつながりが密であると感じます。
山﨑:
セキュリティに関しては、競争領域ではなくむしろ「協調領域」です。それは各社ともに認識していることです。本当の実装レベルは各社の技術力なので、最終的には競争になりますが、需要が喚起されるまでは協調の方が重要でしょう。そのため、セキュリティは従来の自動車技術の話に比べると、かなり深いところまで共に活動できるエリアです。お互いがオープンにできていると思います。
このような協調領域としての活動を推進し、自動車のセキュリティ活動をしていければと思っています。
マツダ株式会社 MDI&IT本部主査 グローバルセキュリティ担当 山﨑 雅史氏
※車両サイバーセキュリティに取り組む各社のインタビュー記事を随時掲載予定です。
※法人名、役職、インタビューの内容などは掲載当時のものです。
特別対談 車両サイバーセキュリティの未来
8 results
Loading...
第4回:トヨタ コネクティッドカンパニーが語るコネクテッドカーのサイバーセキュリティ対策(前編)
トヨタ自動車にて、「戦略的イノベーション創造プログラム 自動走行システム(SIP-adus)」での活動を通じて浮かび上がった自動車セキュリティが抱える課題に焦点を当て、話を聞きました。
第3回:パナソニック小林氏が語る家電で培った技術を生かした車両セキュリティ(後編)
後編もパナソニック株式会社 オートモーティブ社の小林 浩二氏が、自動車メーカーとの協業体制や、将来の車載セキュリティ活動に焦点を当てて話します。
第3回:パナソニック小林氏が語る家電で培った技術を生かした車両セキュリティ(前編)
パナソニックで車両セキュリティ対策全般を担当する小林 浩二氏が、総合家電メーカーとしての強みを生かしながら取り組む車両システムセキュリティについて、語ります。
Loading...
