私は現在、セキュリティ診断、コンサルティング、そして標準化活動の3つの領域に関わっています。
1つ目が、車載ECUに対するセキュリティ診断です。
ECUの統合化が進む中で、評価対象は単体のソフトウェアにとどまらず、通信インターフェース、ハードウェア、外部接続経路を含むシステム全体へと広がっています。私は、こうした統合化された車載システムに対して、攻撃者視点を踏まえた実践的なセキュリティ評価を専門的に行っています。直近1年間では10件以上のECU評価プロジェクトに携わり、現在はプロジェクトリーダーとして、評価方針の策定、委託先メンバーとの連携、新人育成、成果物レビューまで含めてチーム全体をリードしています。
2つ目が、車載サイバーセキュリティに関するコンサルティングです。
直近では、セキュリティ評価活動を支援するプロジェクトにリーダーとして関わっていました。
お客様の体制や運用も踏まえて最適な進め方を考える必要があり、技術的な評価スキルだけでなく、コンサルタントとしての視野を大きく広げる経験になっています。
3つ目が、JASPARのAPI標準化ワーキンググループでの活動です。
入社後すぐに自ら手を挙げて参加し、SDV時代に求められる車載APIの標準化に向けて、セキュリティ観点から検討に関わっています。標準化は、個別の診断やコンサルティングとは異なり、業界全体で共通的に使われる仕組みを考える必要があるため、将来のモビリティ社会を見据えた視点でセキュリティに向き合う貴重な経験になっています。
もともとは、自分の強みをより明確にし、車載セキュリティの分野で専門性を高めながら軸を作りたいという思いがありました。当初は「セキュリティ診断に深く関わりたい」という思いが強く、ここまで幅広い領域に関わることは想定していませんでした。
しかし実際には、セキュリティ診断に加えて、提案活動やコンサルティング、標準化活動にも関わる中で、技術的な知識や評価スキルだけでなく、お客様の課題、業界全体の動き、実運用を踏まえて考える重要性を強く感じるようになりました。個別の技術課題に向き合うだけでなく、「その技術をどのように社会やビジネスの中で活かしていくか」という視点を持てるようになった点は、自分にとって大きな成長だと感じています。
また、NDIASでは委員会活動も盛んで、私はCTF委員会に参加しています。国内外のCTF大会に参加するほか、NDIASのCTFチーム「cartagaitai」として、対外的な勉強会や情報発信にも取り組んでいます。直近では、NDIAS主催のCTF大会において、競技インフラの構築や問題作成に携わりました。
学生時代は、全天周・HDR画像処理に関する研究やWeb開発のアルバイトをしていました。その中で、カメラ技術は自動車にも使われており、今後発展していく自動運転などの分野でも自分の研究経験を活かせるのではないかと考えたことが、自動車に関心を持つきっかけの一つでした。当時は明確にやりたい領域が決まっていたわけではありませんでしたが、幅広い製品や技術に関われるメーカーに魅力を感じ、前職の会社に入社しました。
入社後、最初の2年間は、某OEM向けのIVIシステムの評価を担当していました。200人規模のプロジェクトに参画し、テスト設計や評価管理などを担当していましたが、当時は自動車に関する知識がほとんどなく、最初のキャッチアップにはかなり苦労しました。
他方で、実際にプログラミングなど手を動かす作業は委託先が中心で、自分は管理業務が中心でした。そのため、自動車の一部となる製品を作っている実感はあまりなく、エンジニアとしての専門性をどう高めていくべきか、少しずつ考えるようになりました。
それでも、この時期に自動車における品質確保の重要性を強く学びました。自動車は、さまざまな利用環境や走行状況の中でも安全に動作することが求められます。また、地域ごとに法規も異なり、品質に対する要求水準も非常に高い領域です。さらに、自動車は決して安価な製品ではないので、価格に見合った価値と品質を提供することが重要だと感じていました。こうした品質に対する考え方は、今でも仕事のベースになっています。
その後、セキュリティの部署に異動し、IVIのセキュリティ機能開発に関わるようになりました。セキュリティ機能は単独で完結するものではなく、複数の領域と連携しながら設計・実装を進める必要があります。関係するチームと調整しながらプロジェクトを進める中で、Linuxにも本格的に触れるようになり、「ようやく技術に向き合えている」という実感を持てました。
また、製品開発だけでなく、お客様への提案や講師としてのレクチャーも経験しました。初めて主体的に提案した取り組みが受注につながったことは、大きな自信になりました。
さらに、セキュリティ評価の内製化・自動化プロジェクトのリーダーも担当しました。必要な試験内容の整理、ツールの選定や開発、対外発信など幅広い活動に取り組む中で、技術だけでなく、取り組みの意義や価値を周囲に伝える難しさも経験しました。
一方で、キャリアが進むにつれてマネジメントの比重が増えていきました。
『このままマネジメント寄りでいいのか、それとも技術を磨いていくのか』かなり悩みましたが、最終的に選んだのは、技術を磨くという選択でした。
転職には期待だけでなく、不安もあり、本当に悩みました。前職は大きな会社だったため、組織規模やカルチャーが大きく異なるNDIASに転職して、自分がなじめるのかという不安もありました。
それでも、「このままでいいのか」と考えたときに、1社の考え方しか知らないままでいるのはもったいないという気持ちが強くなりました。外に出て環境を変え、自分がどこまで通用するのか試したい。どんな人たちがいるのか、一緒に働いてみたい。そう思って調べていく中で、NDIASのメンバーの専門性の高さを知り、一緒に働いてみたいという気持ちがより強くなりました。
社員のインタビュー記事を読んだときには、『マネジメントではなく、技術を磨きたい』という自分の思いを代弁してくれているように感じ、強く共感しました。実際の転職活動では野村総合研究所(NDIAS出向)しか受けていませんでしたが、それでも決断するまではかなり悩みました。
ただ、やってみないと分からない。チャレンジしないと何も変わらない。そう考え、最終的に転職を決断しました。
NDIASに入ってからの1年で、特に印象に残っている経験の一つがCTFへの参加です。
もともとCTFはほとんど経験がありませんでしたが、NDIASに入ってから初めて本格的に挑戦しました。最初は何から手をつければよいのかも分からない状態でしたが、「せっかくこの環境にいるなら挑戦してみたい」と思い、取り組み始めました。
入社して間もないタイミングで、世界最大級のセキュリティカンファレンスであるDEF CONの中で開催されるセキュリティコンテストCar Hacking Village CTFに参加することに決めました。
未経験からの挑戦だったため、メンバーと勉強したり、自身で開発環境構築や過去問に取り組んだりするなど、自分なりに準備を重ねて臨みました。
初めての参加で問題も難しかったですが、1問解くことができました。その瞬間の達成感は、今でも強く覚えています。世界トップレベルの大会の問題を自分の手で解けたことが本当に嬉しく、CTFの面白さを実感するきっかけになりました。
結果としては5位でしたが、楽しさと同時に、世界トップレベルとの差も強く感じました。ただ、その差を実感できたことが、むしろ次に向けたモチベーションになりました。
その後に参加した、日本最大級の自動車セキュリティコンテストであるVCC(Vehicle Cybersecurity Competition)では、複数の問題を解き、NDIASとして優勝できました。
スキル面での成長はもちろんですが、それ以上に印象に残っているのは、チームで連携して結果を出せたことです。レベルの高いメンバーと協力しながら優勝できたこと、そして日本一という結果を出せたことは、本当に大きな経験になりました。DEF CONで感じた悔しさがあったからこそ、VCCでの優勝はより強く記憶に残っています。
入社当初は、苦労も多かったです。前職ではマネジメント寄りの業務が中心だったこともあり、技術的な知識にはかなり不安がありました。NDIASには技術力の高いメンバーが多いため、最初は「この環境でやっていけるのか」というプレッシャーも感じていました。
まず大変だったのは、技術のキャッチアップです。セキュリティ診断では、ハードウェア、多様なインターフェース仕様、ソフトウェアの知識が不可欠で、とにかく勉強しました。ただ、NDIASには高い専門性を持つメンバーが多く、困ったときに相談できる環境があるのは非常に心強かったです。
その中で実感したのは、分からないことを素直に聞くことの大切さです。自分だけで抱え込んで止まってしまうよりも、早い段階で相談して前に進む方が、結果的に成長につながると感じています。
早くNDIASに必要とされる人材の一人になりたい、という意識は常に持っていました。
レベルの高い環境だからこそ、自分もそこに追いつき、さらに成長していきたいという気持ちが強くなりました。
この1年で、スキル面でもマインド面でも大きな変化を感じています。
多くのセキュリティ診断案件に関わることができたことで、スキル面は大きく成長できたと感じています。
コンサルティングについても、自分で案件を担当する中での学びはもちろん、周囲のメンバーが作成した資料や案件の進め方を見ることからも、多くのことを吸収しました。「こういう伝え方があるのか」「こう整理すれば分かりやすいのか」といった気づきが多く、自分の引き出しが少しずつ増えている感覚があります。
加えて、仕事を見る視点も大きく変わりました。以前は、自分のスキルを高めることや、目の前の役割にしっかり応えることを強く意識していました。もちろんそれも大切ですが、NDIASに入ってからは、「何を解くべき課題として捉えるのか」「どの取り組みがお客様や会社にとって本当に価値につながるのか」をより考えるようになりました。
提案活動やコンサルティングに関わる中で、技術的に正しいだけでは十分ではなく、それがお客様の課題解決や事業上の価値にどうつながるのかまで考える重要性を実感しています。コンサルティング関連の本や日々の業務からも、まず本質的な課題を見極めることの大切さを学んでおり、実際の提案や支援の中でも意識するようになりました。
目の前の成果だけでなく、将来的に会社の強みになることは何か、どのような行動が次の事業機会につながるのかを考えるようになった点は、この1年での大きな変化だと感じています。
さらに、自分の中で大きく変わったのが主体性です。
NDIASに入ってからは、小さなチャレンジを積み重ね、試して、振り返り、次につなげることを意識するようになりました。
その中で印象に残っているのが、5G用の評価環境の構築です。以前から実現が難しい課題として残っていたものだったのですが、自分で調べ、試行錯誤しながら構築することができました。
必要だと思ったら、まずやってみる。そうした動き方ができる環境があるからこそ実現できたチャレンジだと思っています。必要な機材も比較的そろえやすく、NDIASの自由な文化がこうした挑戦を後押ししてくれていると感じています。
前職では、組織規模も大きく、役割分担も明確だったため、自分の裁量で動ける範囲には一定の限りがありました。NDIASでは自由に挑戦できる環境があり、やろうと思えばすぐに動けます。そして、挑戦したことはしっかり見てもらえる。その環境があることで、自分から動こうという意識が強くなりました。
一方で、前職で培った経験も、今の業務に確実に活きています。
まず、セキュリティの基本知識に加えて、お客様とのコミュニケーション経験は大きな強みになっています。お客様ごとに考え方や文化、重視しているポイントは異なります。その違いを理解したうえでコミュニケーションできることは、今のコンサルティング業務にも活きていると感じています。
また、前職は品質に対する意識が非常に高い環境だったため、その感覚も今の仕事のベースになっています。自動車は安全性が最優先であり、セキュリティ上の問題が残ったままだと、リコールや重大な事故につながる可能性もあります。だからこそ、『絶対に見逃してはいけない』という意識は常に持っています。
成果物についても、品質は強く意識しています。誰が見ても分かりやすく、読みやすいレポートにしたいと考えています。この点では、学生時代のデザイン系の専攻や、Web開発のアルバイトで培ったドキュメンテーションの経験も役立っていると感じています。
メーカー時代との大きな違いは、やはり意思決定のスピードです。前職では、大規模な組織の中で多くの関係者と丁寧に合意形成を行いながら、品質を担保していく文化がありました。NDIASでは高い専門性を持つメンバー同士で密に議論し、スピーディーに意思決定できるため、品質を保ちながらも素早く動ける環境だと感じています。
この速さは、そのまま自由さにもつながっています。自分が考えた提案をすぐ形にし、お客様に価値として届けられる。この感覚は非常に大きいです。
無駄が少ない点も、自分に合っていると感じています。マイクロマネジメントはなく、定例の打ち合わせも必要最小限です。その分、自分で使える時間が多く、価値を出すことに集中できます。
面接の段階から、自由な会社なのだろうという印象はありましたが、実際に入ってみると、それ以上に裁量の大きい環境でした。面接時から『なんでもやっていいよ』と言われていましたが、本当にその通りで、想像以上に自由度があります。
NDIASの仕事は、どれも面白いです。
『自分がもう一人いたら、もっといろいろなことができるのに』と思うこともあります(笑)。
さらに、モチベーションの高い人が多いことも印象的でした。NDIASではDEF CONに毎年参加しており、CTFの話題も日常的に出てきます。そうした環境にいることで、自分自身も自然とチャレンジするようになりました。
ここまで刺激を受ける環境だとは、入社前には正直思っていませんでした。技術力の高いメンバーに囲まれ、自由に挑戦できる環境があるからこそ、プレッシャーを感じながらも、自分なりの成長のかたちを少しずつつかめていると感じています。
※記載内容は2026年3月時点のものです
<関連サイト>
自動車セキュリティのNDIAS
・JASPAR:一般社団法人JASPAR(Japan Automotive Software Platform and Architecture)は車載電子制御システムの高度化・複雑化に対応するため、2004年に設立された業界団体です。自動車メーカーやサプライヤー、ソフトウェア・半導体関連企業、大学・研究機関などが連携し、車載ネットワークやソフトウェア、情報セキュリティ分野における標準化活動を推進しています。
・API標準化:システム間で利用するAPIの仕様やルールを統一する取り組みです。開発効率やシステム連携性を向上させるだけでなく、品質やセキュリティの担保にもつながります。
・車両向けAPI:車両データや車載機能を外部システムと連携するためのインターフェースです。コネクテッドサービスやアプリ開発を支える重要な技術として活用が進んでいます。
・セキュリティ診断:システムやアプリケーションに潜む脆弱性を確認・評価するための診断です。サイバー攻撃リスクを未然に把握し、より安全なサービス提供につなげます。