IoTコンサルタントの真価は「過去の経験や開発現場の肌感覚」

ありとあらゆる業種でセキュリティ対策に対するニーズが高まっている昨今ですが、特に製造業のお客様においては、セキュリティと生産活動をいかに両立するかがキーポイントとなっています。

NRIセキュアではこうしたご要望に応えるべく、様々な業種での経験を持つ人材を積極的に採用し、過去の経験や知見を生かしたコンサルティングサービスを展開しています。キャリア採用でNRIセキュアに加わった2人に、製造業のセキュリティという大きな課題に取り組む難しさと醍醐味、魅力について聞きました。

過去の経験や肌感覚を生かしたコンサルティングを展開

前職と現在のお仕事について教えてください

半田：前職では大手通信会社に勤めていました。通信インフラの構築に携わった後、社内の各部署と連携してさまざまなサイバー攻撃から自社を守るCSIRTに所属し、最前線で対応にあたっていました。自治体や企業のお客様にセキュリティのソリューションを提案する法人営業を経験した後に、NRIセキュアに転職してきました。

2021年5月に、米石油パイプライン企業のColonial Pipelineがサイバー攻撃を受け、石油の輸送サービスが一時停止してしまう事案が発生しました。このように、近年は制御システムを保有するインフラ設備や工場などがサイバー攻撃の被害に遭うケースが増加しています。私は現在、工場などの生産施設をお持ちのお客様に対するセキュリティのコンサルティングを担当しています。お客様の設備のどこにどのようなセキュリティリスクがあるかをチェックし、必要な対策やルール、対応体制の整備などをご支援しています。

DXセキュリティ事業開発部　主任セキュリティコンサルタント　半田伸太郎

櫻井：私は、以前は家電メーカー、建機メーカーに勤めており、NRIセキュアで3社目になります。車載機器の開発や現場のネットワーク構築を担当していた経験を生かし、今はIoTデバイスのセキュリティ診断やセキュア開発のプロセス構築などのコンサルティングを担当しています。

近年では、2015年に報告されたJeep Cherokeeのハッキング事例をきっかけに自動車、特にコネクテッドカーのセキュリティ対策に注目が集まっています。また、日本では世界に先駆けて自動車のセキュリティ対策を義務化した改正道路運送車両が施行されるなど、自動車メーカー各社に対応が求められています。いくつかの自動車メーカーをはじめとしたお客様へのセキュリティ対策の実施をご支援しています。

DXセキュリティ事業開発部　主任セキュリティコンサルタント　櫻井健一

現在の業務で特にやりがいを感じるポイントは何でしょうか

半田：やはり、製造業を中心に、日本を代表するようなお客様のセキュリティレベルの向上に貢献できることですね。セキュリティのご支援を通じて、お客様の企業価値向上にも寄与できていると思っています。中には数年単位でご支援させていただくお客様もあり、長期的な目線で効果を実感できるのもやりがいの1つです。

同時に、自己成長にもつながっていると感じています。複数のお客様に対してセキュリティコンサルティングを提供していますが、お客様の環境や考え方、ニーズには、似たところもあれば、異なるところもあります。そのたびにわれわれも新たな気付きを得ながら、それに合わせた提案を行っていますし、その過程が自分自身の成長に確実につながっていると実感しています。

櫻井：発注側から受託側と180度立場が変わり、最初はなかなか慣れない部分もありましたが、結果を出すことによって、直にお客様からレスポンスをいただけたりするのはとても嬉しいですね。

経営から現場まで、様々な視点をカバーした提案活動を実施

製造業のセキュリティ対策の難しさについて教えてください

半田：この数年間で、実際に工場が止まってしまうような大規模なセキュリティ事件が国内外で頻発しており、決して他人事ではないと危機感を抱くお客様が増えてきています。また最近ではDXやスマートファクトリーといった取り組みが加速していますが、つながる部分が増えればセキュリティリスクは高まります。ですので、セキュリティ対策とDX推進をセットで進めていく必要があることもお伝えしています。

現場の皆さんにとって1番大事なのは生産それ自体であり、セキュリティ対策によって効率が悪くなったり、オペレーションを停止したりするような事態は避けたいというのは事実です。ですが、地道に対話を進め、現場のやり方を踏まえた上でアイデアを出し合い、お客様にベストなセキュリティ対策の形を作っていくことで達成感が得られるのもこの仕事ならではですね。

図：2人が携わる「IoTシステムのセキュリティ」対策支援のイメージ

開発の現場を知っているからこそできた提案などはありますか

櫻井：現在、私は自動車メーカーが自動車のセキュリティを保証するためのプロセス構築について支援させて頂いていますが、この取り組みにおいては開発現場だけでなく、工場やサービス現場なども含めて包括的に考えていく必要があります。海外の現場で発生したトラブルを工場やサービス部門と協力して解決した、前職での経験をもとにお客様へ提案したところ、提案内容を高く評価頂き、案件の獲得につながったことがありました。

前職で私が携わっていたネットワークと今のセキュリティに共通するのは、「それそのものが商品力にはならない」ことです。それがあったからといって売れるわけではないけれど、必要なことは間違いありません。「セキュリティはどうやって実現すればいいのだろう、極力お金はかけたくないし…」と悩んでいるお客様に対し、いかにバランスの取れた提案を行えるかが腕の見せどころです。

その点、もともと開発を経験して身につけてきた現場感というか肌感覚が役立っていると思います。いかにリーズナブルにセキュアなシステムを構築するか、前職の経験がその提案力の土台として、今の仕事に非常に活きていると思います。

提案時には、どのような準備を行いますか

半田：ちなみに、新型コロナウイルスの発生以降はお客様とのお打ち合わせも自宅から行うことがほとんどです。部署のメンバは皆テレワークですし、お客様もほぼ100％テレワークなので。その時々の状況により、必要に応じてオフィスで仕事をすることもあります。

NRIセキュアでの成長｜情報収集・研修の機会もふんだんに

今後挑戦していきたいことはありますか

櫻井：NRIセキュアにきて2年弱の中で、お客様からも一定の評価を頂き、仕事の手応えを感じています。しかしながら、ただコンサルティングという仕事は、お客様に寄り添って問題を解決していく上では非常に有効ですが、一人でサポートできる範囲には限りがあり、なかなかスケールしないという課題があります。

今後、自動車を皮切りに多くの製造業で、ISO/SAE21434^[1]の施行に伴い、自動車をはじめとする多くの製造業で、セキュアな開発のニーズが高まっていくと考えています。それに備え、我々の知見やノウハウをもとに、セキュアな開発を円滑に回していくために役立つサービスを立ち上げていければと考えています。

[1] ISO/SAE21434：コネクテッドカーなど、外部ネットワークに接続されることを前提とした車両における、サイバーセキュリティに関する国際標準規格です。

社外での情報収集機会もありますか

櫻井：2年前に、ラスベガスで開催されるセキュリティ業界のビッグイベントの1つである「BlackHat」に参加してきました。最近はコロナの影響で、リアルなイベントには行きにくくなっていますが、セキュリティは情報収集がキモになってきますので、個人でもチームでもできるだけ広くアンテナを張っています。

あとは、NRIセキュアと自動車部品サプライヤーのデンソー様と共同で立ち上げた、自動車のセキュリティに特化した「NDIAS」というグループ会社がありますが、そこのメンバーと積極的に交流し、そこから得られた知見をフィードバックしたりしています。

半田：たとえば医療系機器のセキュリティをやっているチームならばヨーロッパで行われる医療セキュリティカンファレンスに参加するなど、部としても、会社としてもそうした機会を重視していますね。

NRIセキュアの魅力

半田：どんな方でも、今まで培ってきたスキルを生かせるものがある仕事だと思います。自分はセキュリティの仕事をしてきましたが、櫻井さんのように製造業での開発経験を持つ人もいますし、他にもいろいろなメンバーがいます。NRIセキュアは多様な業種のお客様をターゲットにしていますから、セキュリティ以外の仕事をしていたとしてもその強みを生かすことができますし、セキュリティをやっている人であればもちろんそれが強みになり、チャレンジできると思っています。

櫻井：セキュリティというフィールドでやりたいことがある人には特にお勧めできる環境です。若い人がたくさんいて、手を上げればチャレンジさせてもらえる風土もありますし、セキュリティに関してこれだけ幅の広い技術やサービスを扱っている会社はなかなか日本にはないでしょう。やりたいことが明確であればあるほどいい環境だと思います。お客様のビジネスが成功するにはどうするのがいいのか、セキュリティの観点ではどうか、というところを自分なりに考えて行動できる人が、活躍していると思います。 これまでの自分の経験を武器にチャレンジしたいというポジティブな気持ちがある方にはぜひチャレンジしていただきたいと思います。

▼後編

セキュリティ業界への転職、イメージとのギャップとは？｜専門家インタビュー