NRIセキュアテクノロジーズのグループ会社であり、自動車のサイバーセキュリティを専門とする株式会社NDIAS(エヌディアス)に出向している上松 亮介は、車両や電子制御ユニット(ECU)の診断などを担当しています。元々はセキュリティの経験がなかった彼が、IoTや自動車のセキュリティ第一線の専門家となるまでを辿りました。
IoTのセキュリティにチャンスを見出して転職
上松は2010年に大学院を卒業後、通信機器メーカーに就職し、通信機器の設計開発に携わります。3年後には大手通信キャリアに転職して、基地局の通信機器の導入業務に従事しました。転職して4年が経った頃、管理業務が増えて技術者としての業務が少なくなったことを契機に、技術者としてのキャリアアップを志向し再び転職しようと決めました。その頃に、転職支援サービスで紹介されたのがNRIセキュアでした。
「紹介された際に『なぜセキュリティの仕事を私に?』と疑問に思いました(笑)。しかし、いろいろとネットで調べていくうちに、NRIセキュアがIoTセキュリティ事業に力を入れようとしていることがわかり、『おもしろそう。自身の経験が活かせるかもしれない』と考え応募しました」
2017年当時、ICチップの汎用化や無線通信の技術革新などを背景に、モノとモノをつなぐインターネット(Internet of Things; IoT)が急速に広まり、とくに工場など産業分野での活用が伸びていくといわれていました。
NRIセキュアでは、PCやサーバなどに比べて、セキュリティ対策が十分ではないIoT機器は、サイバー攻撃の新たな標的となりうることを見越して、IoTセキュリティ事業を拡大しようとしていました。通信分野やIoT機器に詳しい上松が入社したのはまさにそのころでした。
「NRIは堅い会社というイメージがあったので、面接を受ける前はとても緊張しました。しかし、面接者であった現NDIAS社長の橋本 幸典がとてもフランクに接してくれたので緊張がほどけ、堅いイメージも払拭されました。
またざっくばらんに業務の説明やIoTセキュリティ事業の将来性、私の経験がどう活かせるかについても話をしてくれたので、NRIセキュアで働くイメージが深まり、挑戦したい、という気持ちが強くなったことを覚えています。そうしてセキュリティ未経験ではありましたが、2017年7月に入社しました」
入社直後に味わった危機感とセキュリティ専門家への道のり
自動車や電力のスマートメーターのセキュリティに関するコンサルティングや診断、新規事業開発を行う部署に配属となった上松は、入社してすぐに大きな壁にぶつかります。
「セキュリティのキャリアを歩んできていないことから、ある程度は覚悟していましたが、入社直後に、同じ部署の人たちの話している内容が理解できず、会話にまったくついていけないことに気づきました。
周りはWebアプリやスマホアプリ、バイナリ解析といった“〇〇のセキュリティの専門家”ばかりで、それぞれが何か特定の分野に精通し、自分の領域というものを持っていました。『このままでは落ちこぼれていってしまう』と危機感を抱きました」
焦りを感じながら、上松は自分の専門性を高めることに邁進しました。通信業界での経験を持つ上松は、“無線通信のセキュリティ”を自身の専門分野と設定し、社内の研修メニューや資格取得の支援制度も活用しながら、社内に右に出る者がいないくらいまで、知識と経験を積み上げていきました。
「セキュリティの専門家になるためにまず取り掛かったのは、情報セキュリティ業界では、基本の資格ともいえる国家資格『情報処理安全確保支援士(登録セキスペ)』の取得のための勉強でした。登録セキスぺ取得後も、会社の援助を受けながらモバイルに関する社外の研修を受講したり、関連の書籍を読み漁ったりして自己研鑽に励みました。
また、NRIセキュアでは、さまざまなテーマに関する社内の勉強会も盛んに行われており、IoTセキュリティは技術革新が速いので、時間があれば積極的に参加しました。転職という大きな環境変化に慣れつつ猛勉強するのは正直辛かったですが、今思えば、最初の半年間で自分の意識を変え取り組んだ経験が、5年経った今でも生きていると実感しています」
無線通信に詳しい専門家として自動車セキュリティ会社へ
▲車両のセキュリティ診断では、直接部品に手を加えることもあるため作業スペースが用意されている
NRIセキュアに入社して2年ほどが経ち、2019年10月には自動車のセキュリティを専門とするNDIASに出向することになった上松。NDIASは、2018年12月に株式会社デンソーと共同出資して設立された、NRIセキュアのグループ会社です。車の自動運転やコネクテッドカーが社会に普及していく中、車とつながるネットワークやソフトウェアの脆弱性を狙ったサイバー攻撃などから、車の安全性を守ることをミッションとしています。
「NRIセキュア入社後の2年で、自動車、スマートメーター、制御システム、スマートファクトリーなどを対象にしたセキュリティコンサルティングと診断を担当して、無線通信のセキュリティのスペシャリストとしてある程度の実績ができていました。
すでに同じ部署の同僚がNDIASに出向していたこともありましたし、無線通信は車両でも多く使われていますので、『とうとう自分にも来たか』という感じで受け止めました」
出向した上松は、いまやNDIASには欠かせない中核人材となりました。2022年現在、彼が担当している業務は大きく3つあります。1つ目がセキュリティコンサルティングで、脅威分析やリスク評価、実機がなくてもその設計書などを参照して、セキュリティの脆弱性を漏れなく確認する机上評価などを行います。2つ目が車両や部品を設計する担当者向けに行われるセキュリティトレーニングの講師です。
3つ目は、車両や電子制御ユニット(ECU)のセキュリティ診断です。ECUとは、車に搭載されているコンピュータのことです。ユーザーに身近なものではカーナビもその一つですが、エンジンやトランスミッションの制御 、ABS(アンチロック・ブレーキ・システム)などの制動も担っている重要な部品です。借りてきたECUの実機に対して実際に疑似攻撃を仕掛けて攻撃を受ける隙がないかどうかを診断します。
「基本的にECU単位で診断することが多いのですが、時には工場に出向いて発売前の完成車を診断したり、サイバーセキュリティ面のアドバイスをしたりすることもあります。また、自動車業界では国連法規『UN-R155』の施行により、サイバーセキュリティへの対応が必要不可欠です。
NDIASには自動車に関わる規制や認証に詳しい専門家も多数在籍し、認証を取得するには何が必要かを助言することができます。またセキュリティの認証を取得するために、NDIASに診断を依頼されることもありますね」
自由な社風を維持しながら、会社の成長に取り組む
NDIASでの日々も2年半が過ぎた2022年現在、上松は自動車分野のサイバーセキュリティに対する社会の要望や期待を強く意識して日々の仕事に取り組んでいます。
「自動車分野のサイバーセキュリティは、今後ますます重要になることは間違いありません。たとえば、国内外で普及が急速に進んでいるEV(電気自動車)ですが、実は充電する際に電力供給のほかに決済データなどのやり取りも行われているんです。EV化がさらに進むと充電する場所が増え、通信ネットワークが広がります。つまり、データを狙うサイバー攻撃の標的となる対象や機会も増えるということです。
自動車は、今ではコンピュータが運転を制御する巨大な情報端末という側面も持っています。サイバー攻撃で人々の安全・安心が損なわれないようにするため、NDIASの果たす役割は大きいと考えています。そういう時代の要請に応えるためにも、事業を一緒に支えてくれる仲間を歓迎しています」
現在、NDIASの社員は半分以上が中途採用者で、いろんな業界出身者が集まっています。異文化が混ざり合い、それぞれの専門性やバックグラウンドを互いに尊重しあう社風を誇らしげに語る上松は、どんな人にNDIASに来てほしいと思っているのでしょうか。
「自動車に関わる製造やソフトウェアの開発経験がある方は即戦力になりますし、それ以外にも、自動車やわれわれのミッションに興味を持ってくれる方は大歓迎です。数社を経験した私から見ても、NDIASはとても自由な会社です。
事業を成長するためにさまざまなチャレンジを任せてくれる風土があります。ハッキングコンテスト(CTF)に出たり、新しいサービスを開発したり。私自身は無線通信が好きなので、その関連サービスを作りました。そんな環境で自動車分野のセキュリティに取り組みたいという意欲がある方には、ぜひNDIASの扉を叩いてほしいです」
NDIASには、自由な社風でセキュリティ業務に取り組める環境があります。セキュリティ未経験で入社した上松も、これまでを振り返るとエンジニアにとって楽園のような職場環境だといいます。
いずれは日本の自動車産業に、NDIASが欠かせないという状態にしていきたいと展望を語る上松の視線は、常に一歩先を見据えていました。