{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
自動車セキュリティの将来をけん引するキーパーソンを招き、車両ライフサイクル全体を見据えたセキュリティ対応について、それぞれの立場から話を聞く本連載。第1回後編も、本田技研工業株式会社(Honda)のIT本部 サイバーセキュリティ推進部 セキュリティ推進課で主幹を務める井上 弘敏 氏に登場してもらいます。
前回は、自動車業界団体で取り組むセキュリティ対策活動の内容と、そこから見えてきた課題について聞きました。今回は自動車とITシステムのセキュリティ対策の違いや、自動車業界でのセキュリティ人材の育成に焦点を当てます。(文中敬称略)
(左から)奥山 謙、井上 弘敏氏、納富 央
対談者
本田技研工業株式会社 IT本部 サイバーセキュリティ推進部 セキュリティ推進課
主幹 井上 弘敏 氏
PwCコンサルティング合同会社 デジタルトラスト
シニアマネージャー 奥山 謙(写真左)
PwCコンサルティング合同会社 自動車・サイバーセキュリティ
マネージャー 納富 央(写真右)
奥山:
自動車の脅威情報収集について教えてください。前回、「J-Auto-ISAC(自動車情報共有分析センター)」の取り組みとして、各社で収集した脅威情報を共有し、共通化できる分析は協力して実施していくという話がありました。自動車の脅威情報収集方法は、ITシステムのそれと同じなのでしょうか。例えば、SIEM(セキュリティ情報イベント管理)のような取り組みは、自動車のセキュリティ対策にも使用できますか。
井上:
ITシステムと自動車では、脅威情報の収集方法が異なります。分析対象となる情報(データ)の質が違うのです。
ITシステムはすでに相当数の攻撃を受けていますから、攻撃記録(ログ)やインシデントの情報が蓄積されています。
一方、自動車に対するサイバー攻撃はITシステムほど多くありませんから、攻撃情報だけの分析では限界があります。そのため、攻撃を受ける前に脅威情報や脆弱性情報をより能動的に収集する必要があるのです。
自動車は、攻撃されて障害が発生したら人命にかかわります。そうならないためには、発売前に必要な対策を実装する。その上で脅威情報から起こりうる可能性のあるインシデントと自社製品へのインパクトを分析し、先回りして対応策を講じることが不可欠です。ITシステムのセキュリティ対策方法をそのまま転用することは難しい面もあります。
奥山:
情報収集するポイントが異なりますよね。
井上:
ITシステムであれば、侵入経路(入口/出口)を判断しやすいですが、自動車は侵入口が多くあります。さらに言えば、ITシステムと自動車とでは、ユーザーインターフェース(UI)の更新頻度が異なります。ITシステムのUIは頻繁に変更しませんが、自動車のUIは短期間で変更をおこなうことがあります。
納富:
自動車のセキュリティ対策は、IoT(Internet of Things)機器のセキュリティ対策に近い印象を持ちます。
井上:
そうですね。攻撃ポイントが多く、複数の機器(部品)が相互接続しています。その意味で、自動車がネットワークに接続した時に、それをIoTの一種と見なす考え方があります。IoTに対する脅威情報や脆弱性情報は、自動車業界でも活用できる可能性があると考えていいでしょう。
本田技研工業株式会社 井上 弘敏氏
納富:
アウトソーシングについて聞かせてください。自動車業界ではセキュリティ対策をアウトソースしているでしょうか。ITシステムの場合、通常はSIEMの運用などはセキュリティの専門家に任せます。しかし、自動車の場合は、自社製品の根幹となる情報を外部に出すことになってしまいます。そこに懸念はありませんか。
井上:
現時点では自動車メーカー各社ともセキュリティ人材がそろっているわけではありません。そのため、一定の範囲で外部のセキュリティ企業にも協力を求めなければなりません。
協力を依頼する際に自動車メーカー側が考えなくてはいけないのは、どの部分を、どこまでアウトソースするかという「線引き」です。
全てのセキュリティ対応を外部の企業に任せてしまうと、その部分がブラックボックス化してしまいます。そうなると、自動車メーカーが自社製品に対する脅威や脆弱性被害を受けた際の解析および対策に問題がおこります。これは避けたい事態です。
そのため、社内で作業する部分と外部の専門家に協力に頼る部分をきちんと切り分けた上で、業務の運用状況を把握する必要があります。こうした判断は、今後の課題でしょう。
奥山:
もう一つ、ITシステムと大きく違う「セーフティ(安全性)」に対する取り組み方について教えてください。セキュリティ対策とセーフティ対策の両立は、どのように取り組んでいますか。
井上:
自動車とITシステムのセキュリティ対策を比較して決定的に異なるのは「何を守るか=何を最優先するか」の視点です。われわれ自動車業界が最も優先するのは人命を守ることなのです。
ITシステムのセキュリティ対策には投資対効果の視点が欠かせません。ITシステムのセキュリティ担当者は、「この脅威リスクはビジネスにどれだけ悪影響を与えるか」を考え、投資対効果を算出し、導入の判断をすることがあります。
しかし、自動車の安全対策に投資対効果という視点はありません。「利便性が上がるならセーフティレベルが下がっても構わない」といった考え方はしません。
奥山:
セーフティ対策とセキュリティ対策は別次元で考えなくてはいけないのですね。
井上:
セーフティ対策とセキュリティ対策を両立させようとすると、「セーフティ対策が全て」になってしまいます。なぜなら、セーフティの観点から考えれば、安全性を阻害する要因を排除するために、外部ネットワークには接続しないのが一番安全だからです。しかし、それでは話が前に進みません。
ITシステムのセキュリティを担当している人材/組織に、自動車のセキュリティも担当させればいいという考えもあります。しかし、ITシステムのセキュリティ対策と自動車のセキュリティ対策は、作業がまったく異なります。視点の違いを理解しないと、自動車の適切なセキュリティ対策は難しいと思います。
奥山:
自動車業界でのセキュリティ人材の育成について教えてください。経済産業省が2016年に実施した調査では、2020年には情報セキュリティ人材が約20万人不足すると予想しています。そのような状況で、どのようにセキュリティ人材を確保しているのでしょうか。
井上:
セキュリティ人材の確保は頭の痛い課題です。理想の人材は、自動車システムとITシステムに知見があり、かつサイバーセキュリティにも詳しい人となりますが、なかなか見つかりません。余談ですが、業界のセキュリティ関連の会議に出席すると、キーマンとなる顔ぶれはほとんど同じで、かつ年齢層が高いんです。
異なるスキルを持った人材でチームを編成して脅威を分析する体制を構築することが必要です。車両に対する知見がある人材と、サイバーセキュリティのエキスパート人材が一つのチームで作業することで、これまで自分が持っていなかった知識を習得してもらう。このようなことがJ-Auto-ISACの場で実現できればいいと考えています。そして、それぞれが所属する自動車メーカーに戻って活躍してもらうのです。こうした人材育成も、J-Auto-ISACの役割ではないかと考えています。
納富:
自動車の知見とサイバーセキュリティの知見を兼ね備えた人材の育成にはどのくらいの時間がかかりますか。
井上:
2~3年程度は必要でしょう。
奥山:
セキュリティ人材には、知識とは別のスキルも要求されます。そうしたスキルはどのように身に付けていけばよいのでしょうか。
井上:
これは自動車セキュリティに限りませんが、セキュリティ対策はさまざまな部門から横断的にインシデント情報を収集し、各部門の担当者やステークホルダーと議論しながら作業を進めていきます。そのため、高いコミュニケーション能力と周囲の状況を機敏に察知する能力が求められるのです。そうした人材の育成は、座学だけではできません。
さまざまな組織や社外活動などで多くの経験を積むことで、想定外の事態にも柔軟に対応できるようになります。次世代セキュリティ人材の育成は、自動車業界全体で取り組む必要があると考えています。
PwCコンサルティング合同会社 自動車・サイバーセキュリティ マネージャー 納富 央
※車両サイバーセキュリティに取り組む各社のインタビュー記事を随時掲載予定です。
※法人名、役職、インタビューの内容などは掲載当時のものです。