ITプロフェッショナル対談

注目企業の現場に聞く。IT業界経験者のリーベルのコンサルタントが、業界経験者ならではの切り口でキーパーソンにインタビューし、その核心に迫ります。

  1. IT転職リーベル ホーム
  2. ITプロフェッショナル対談
  3. デロイト トーマツ サイバー合同会社(DTCY) 自動車セキュリティ(前編)

デロイト トーマツ サイバー合同会社(DTCY) 自動車セキュリティ(前編)

「自動車のセキュリティ」ってどういうもの?その分野のコンサルタントとして活躍するには何が必要?リーベルのセキュリティ業界出身コンサルタントがデロイト トーマツ サイバーの自動車セキュリティ部隊を率いる業界の第一人者に訊く

今、自動車のIT化が注目されている。自動運転をとっても、現在は高速道路の1レーン1車線のみで可能だが、2018年には高速道路全般に広がり、2020年には一般道でもできるようになるといわれる。2023年頃には一般の人も自動運転対応の車を購入可能なレベルになると予想されるほどだ。
車から外部への通信だけでなく、外部から車への通信が可能になるといったように技術が発展していくに伴い、避けて通れなくなるのがセキュリティだ。自動車業界はもちろん、コンサルティングファーム、セキュリティベンダーなどが揃ってそこに注目し、人材補強も活発に行っている。デロイト トーマツ グループでサイバーセキュリティサービスを提供するデロイト トーマツ サイバー合同会社(DTCY)もその1社だ。
ではDTCYでは現在、どのように自動車に求められる情報セキュリティ、すなわち自動車セキュリティに取り組んでいるのか? そしてそこでは現在、どのような人材が求められているのか? リーベルのコンサルタントが、DTCYのチームを率いるシニアマネジャーの高橋宏之氏にじっくりと話を訊いた。全3回でお届けする。

プロフィール

デロイト トーマツ サイバー合同会社(DTCY)
シニアマネジャー
高橋 宏之 氏
国内SI企業で省庁関連の大規模システム開発やERP製品導入を経験後、デロイトトーマツコンサルティングに入社し、ビジネスプロセス改善やCIO向けアドバイザリー業務に従事。デロイトトーマツリスクサービス(現デロイト トーマツ サイバー(DTCY))に転籍後は、セキュリティ全般のコンサルティング業務に従事。近年は、自動車業界向けのセキュリティ管理に係るエキスパートとして、情報システム領域および自動車セキュリティ領域に関する様々なコンサルティング案件に関与。

「コネクティッド社会」の到来により自動車セキュリティに注目が集まる

リーベル:お忙しいところありがとうございます。本日は自動車の情報セキュリティに関するデロイト トーマツ サイバー(以下、DTCY)さんの取り組みについて伺っていきたいのですが、まずは背景として、なぜ今、自動車のセキュリティに対する注目が高まっているのかをお話しいただけますか?

高橋氏:わかりました。端的にいうと主要な背景はIoT(Internet of Things)化なんですよね。いろいろなものがどんどんインターネットにつながってきて、コネクティッドカーといわれるものが出てきたように、車もまたそうなってきたと。HEMS(Home Energy Management System)やスマートシティといった言葉もよく聞かれますが、今後ますます、家電やエネルギー、あるいは街全体がインターネットで高度に管理されるようになる。いわゆる「コネクティッド社会」が到来しつつあるわけです。
その中核の1つとなるのが自動車なんです。もちろん世の中に広く普及しているというのはありますが、それに加えて、自動車から取れる情報には、いろいろな活用用途がある。今なら位置情報などでしょうが、今後は、例えばハンドルから運転者の情報を吸い上げて、健康状態を監視する、更にはその状態を踏まえて運転機能を自動制御するみたいなことも出てくると思います。さらには、自動運転なども今後普及するでしょうし。

リーベル:そうなると、そうした自動車から得られるセンシティブな情報を守るためのセキュリティにも、当然関心が高まってくると。

高橋氏:そのとおりです。「コネクティッド社会の中心の1つに自動車がある」というのが、自動車セキュリティに注目が高まっている最大の要因でしょう。

リーベル:なるほど。日本の産業でも、自動車は重要ですもんね。

高橋氏:もともと日本は自動車産業中心に栄えてきたところがありますし、世界的に見ても力を持っていますから。そこのセキュリティに関わるのは、デロイトにとっても大きなミッションです。

今、注力しているのは「ガバナンス」

リーベル:では続いて、DTCYさんがどのような体制で自動車セキュリティに携わっていらっしゃるのかを教えてください。どのくらいの規模で、グローバルにはどのような形で展開されているのでしょう?

高橋氏:デロイト全体としては、大きく北米・ドイツ・日本の3極で動いています。総勢100名を超える体制で推進していますが、成長領域ということで人員増強していく必要があり、採用活動に力を入れています。

リーベル:それぞれどんな特徴がありますか?

高橋氏:ドイツは「インビークル」と呼ばれる車の中身のセキュリティに強みを持っています。欧州のOEMは先進的な技術力を持っていますし、メガサプライヤーもありますので。北米は従来からの情報システム領域分野に加え、産業制御システムのセキュリティにも力を入れています。日本は「ガバナンス」を得意としています。経営層がどうやってセキュリティをウォッチするのか、みたいなところです。また、最近では「インテリジェンス」にも力を入れています。こうしたそれぞれの強みを活かしながら3極で連携してやっています。

リーベル:よくわかりました。デロイトさんは他の部門でもグローバルで協力体制をとっていると伺っていましたが、自動車セキュリティの分野でもそうなんですね。

高橋氏:ええ。

リーベル:DTCYさんだけでなく、デロイト トーマツ コンサルティング(DTC)さんにも、自動車業界を担当しているセクターがありますよね。そことの連携はどのようにされているのでしょう?

高橋氏:もちろんかなり密に連携していますよ。端的に言えば、DTCはビジネスドリブン、我々はセキュリティドリブンとなります。
「AIを使ったビジネスに自動車がどう関わってくるのか?」とか「どこの地域でどのような車に消費者ニーズがあるのか?」といったビジネス的なことについては、DTCの自動車セクターが非常に強いんです。なので、第1フェーズの、例えば、「20xx年の自動車の使われ方」のような大きな青写真はDTCのチームに描いてもらい、それから「そういう使われ方をするのならこういうリスクがあります。だから詳細な脅威分析をしましょう」といった形で我々が出ていって引き継ぐ、みたいなことはよくありますね。

リーベル:現状、お客様はどのようなところが多いのでしょう?

高橋氏:大きくOEM(Original Equipment Manufacturer)、すなわち最終製品を製造する自動車メーカーと、そこに部品などを供給するサプライヤーの2つがあります。仕事の中心となるのはOEMですが、当然、コネクティッド時代においてサプライヤーが開発する電子機器は非常に重要な存在となるため、実際の検討過程においては、一気通貫さらには全体視点でプロセスを考察することが多いです。

リーベル:そうなんですね、よく分かりました。

自動車セキュリティでも「グローバル力」がデロイトの強み

リーベル:自動車の情報セキュティは、まだ新しい分野であるとはいえ、競合のコンサルティング会社でも力を入れてきています。他社と比べて、この分野でデロイトさんはどんな強みを持っているのでしょう?

高橋氏:当社の強みはやはり「グローバル力」ですよね。他社は、北米・ドイツ・日本の3極連携みたいなものはできにくいと思うんです。日本でのみ自動車セキュリティに力を入れていても、世界の最先端技術の動向についていくのは難しいところもありますし。
また、自動車へのサイバー脅威や脆弱性に関する事例や情報を共有するための連携組織であるAuto-ISAC(Automotive Information Sharing and Analysis Center)の日本版であるJ-Auto-ISAC WGの運営活動に携わっているというのが、当社ならではの特徴です。

リーベル:ちなみに先ほど、3極体制の中で、日本のデロイトはガバナンスを得意としている、とのことだったのですが、なぜそこに強みを持っているのでしょう?

高橋氏:経緯としては、2015年末に経済産業省が「サイバーセキュリティ経営ガイドライン」を策定したり、さらにはその以前には、サイバーセキュリティ基本法が制定されたりして、自動車業界でも経営目線でのセキュリティ対策がより強く求められるようになったことが挙げられますね。

リーベル:なるほど。

高橋氏:あと、デロイトとして、技術に偏ったところだけでなく、プロセスやガバナンスなどを包括的に見るサービスを展開していきたいという意向もありますし。もともとデロイトが一番強いのはそういうところですから。

リーベル:確かにそうですね。

自動車セキュリティのガバナンスで今、DTCYに求められている役割とは?

リーベル:もう少し噛み砕いて伺いたいのですが、自動車セキュリティのガバナンスで、経営者の興味のあるトピックとは、例えばどういうものになるんですか?

高橋氏:「サイバー脅威が起きた時に経営にどのくらいインパクトがあるのか?」ということですよね。脅威が起きると、もしかしたらクラスアクション(集団訴訟)とか、リコールといった事態になりかねない。「どういう脅威が起きた時に、どういう被害につながるものなのか?」というところで相談を受けることが多いです。

リーベル:なるほど。

高橋氏:セキュリティを起因とした車の事故が起こらないようにするには、そもそもそういう車をつくってはいけないし、万が一、何かあってもすぐ対処する体制を構築しなくてはいけない。そのために、開発段階におけるセキュリティ管理プロセスや現状のリスク評価の仕組みを作りたい、というご相談が一番のメインです。

リーベル:おそらく、自動車をつくっている側の人は、「自動車が将来こうなる」みたいな目線はもちろんお持ちであり詳しいですが、そこでどういうセキュリティが必要になるのか、セキュリティを取り巻く他業界の動向としては、今どんなことがトピックになっているのか、といったことは外部の知見を参考にしたい風潮が強いと感じています。そのあたりを含めて、こういうふうにしていったらいい、というかたちで相談に乗る、というイメージでしょうか?

高橋氏:そうですね。だから、我々に最も強く求められているのは「第三者評価」「第三者目線」なんです。第三者から見てもしっかりガバナンスの仕組みができているのか、そこについての提言が欲しい、とよく強調されます。その点、デロイト トーマツといえばもともと監査法人ということから、内部統制や評価・監査関連の実績が豊富なので、「デロイトさんに見てもらえば安心だね」というところもあるのではと思います。

「パンデミック」が起きるのはもう少し先

リーベル:ちなみに今、自動車セキュリティでは、実際にどういう脅威が起きているんでしょう? こんな攻撃があった、とか、ハッキングされた、といった具体的な例があれば教えていただきたいのですが。

高橋氏:正直、現時点で、世の中で問題になったということはありません。例えば、米国の某社のEVが北米で事故を起こしたことがありましたが、それも別にハッキングやマルウエアなどによるものではなくて、単純に自動運転の認識レベルの問題なわけです。

リーベル:そうですよね。

高橋氏:自動車に搭載されているECU(Electronic Control Unit)にパソコンを繋いでハッキングして、車の走行を停めた、とかドアロックを解除した、なんていう話もありましたが、それも大学や研究機関の実証実験でやっているわけで。それは実際に起きている悪意を前提とするセキュリティの脅威ではない。
いわゆるOTA(Over The Air)と呼ばれる、無線通信でECUのソフトウエアを遠隔更新するものはいずれ出てくるでしょうが、世の中で「パンデミック」(感染症などの世界的大流行)が起きるような状況はまだまだ先のことです。

リーベル:映画の世界では車がハッキングされて勝手に走りだす、といったこともよく見ますが、そのような世界は随分先のことであり、現状では物理的に直接OBD(On-Board Diagnostics)ポートに繋げるなどしなければならず、いずれにしてもハードルは高い、ということですね。

高橋氏:そうそう。あんな時代が来るのはかなり先です。ただ、シンギュラリティ(技術的特異点)といわれる、AIが人間の能力を超えるようなことがあると、どうなるかわからない。AIの進化は、2045年くらいまではなだらかに進んでいくといわれていますが、それ以降はAIがAIを進化させていくから成長スピードが急激に高くなるとも言われていて。そうなると、自動車のセキュリティもいろいろな新しい危険性を孕んでくる可能性があります。だからといって、今すぐその対策をしようという話にはならないですよね。もちろん、雑談交じりの会話レベルでは出ますけど。

リーベル:だからこそ今は、ガバナンスに注力しているわけですよね。

高橋氏:ええ。とはいえ日本のOEMでも、今後はかなり先を見据えて、AIを活用した自動運転のセキュリティなども考えていかないと、という声が出ているのも事実です。そういう意味での長期的なセキュリティ投資について相談を受けることも増えています。

リーベル:そうなんですね。

高橋氏:セキュリティって、ひと昔前は「どんどん技術が変わるから、あまり先のことなんて考えても仕方ないよね」みたいに言われていたんです。しかし、今はかなり遠い先のことまで、シーズから探してやっていかなくてはならない、という傾向が強くなっています。さもないと欧米のOEMと戦う時に、どんどん後手後手になってしまいますから。

リーベル:確かにそうですね。私自身、コンサルタント時代、セキュリティに関わっていたのですが、やはり皆さん、「やられてしまってから気づく」ものなんですよね。やられてしまってからでは遅いので、先のことを考えて対策していくことが大切だと思います。

高橋氏:あるいは「やられてしまってからでも、その影響を最小化する」という方向ですよね。セキュリティは予防に限界があると言われている中で、被害を極小化し、早急に回復できるようにする、それによって経営被害を免れる、というのはすごく大事ですよね。これは車に限った話ではありませんが。

リーベル:確かにそうですね。事前対策はもちろんしますが、全てを防ぐことは出来ない。だからこそ事後対策もする。それは自動車セキュリティでも同じ、ということですね。よく分かりました。

ハッキングなどで事故が起きた際、誰が責任を取る?

リーベル:今のお話だともっと先の話になるとのことでしたが、ぜひ伺いことがありまして。自動車のセキュリティで、例えば走行中にハッキングなどによって事故が起きた時は、誰が責任を取ることになるんでしょうか? 売った人なのか、作った人なのか、それともユーザーの事故責任になるのか? どうなんでしょう?

高橋氏:おお、痛いところを突いてきますね。それはポスト・マーケット・マネジメント、もしくはポスト・プロダクション・マネジメントと言われるところで、難しい話ではあるんです。現状は、そのあたりの責任がすごく曖昧で、売った後は所有者の責任になるような傾向がありますけど、OTAが全盛になり、リモートで自動車の機能がどんどんアップデートされるようになると、さすがに単純にそうも言えないだろうと。

リーベル:そうですよね。

高橋氏:この課題は、実は自動車業界に限ったことではなくて。最も検討が進んでいるのは医療業界だと思います。アメリカでは医療機器は、医療品や食の安全を監督するFDA(Food and Drug Administration=アメリカ食品医薬品局)が、ポスト・マーケット・マネジメントに関するガイドラインを出していて、こういう医療機器には定期的にこういう検査をしなさい、というように、売った後の責任問題をきちんとやろうとガイドライン策定等の仕組み整備に着手しています。自動車業界でも今後、そういうものが必要になるでしょう。法制度も変わってくるでしょうし、そこはまだ過渡期なんですよ。2025年頃には、完全自動運転がある程度市場化されると言われているので、その頃にはかなり明確化されていると思いますが。

リーベル:そういう意味でのガバナンスというのも大事になってきますよね。

高橋氏:そうですね。いろいろなステークホルダーがいる中で、どういう仕組みが必要になるかというのは、まさにガバナンスの話ですから。国やOEMなどがそれぞれどんなことをやらなくてはいけないのか、そういうガバナンスモデルを作るところは、我々としてもぜひやってきたいと考えています。

ライター プロフィール

荒濱 一(あらはま・はじめ)
1971年、東京生まれ。上智大学文学部教育学科卒。高校教諭、タイ・インドでの広告代理店勤務を経て、1998年からライターとして活動を開始する。現在、ビジネス(特に人材・起業)、IT/デジタル機器、著名人インタビューなど幅広い分野で記事を執筆するほか、広告コピー分野でも活躍。
◇主な著書
『新版 結局「仕組み」を作った人が勝っている』(光文社)(高橋学氏との共著)
『新版 やっぱり「仕組み」を作った人が勝っている』(光文社)(高橋学氏との共著)
注目のキーワード: