業界全体のサイバーセキュリティレベルの向上を目指す
私が代表を務めるSOC(セキュリティオペレーションセンター:以下略)は、車両に影響のある脅威・脆弱性情報をタイムリーに検知・分析・提供することにより、セキュリティインシデントの予防および発生時の被害を最小化することを目指しています。
車両に係わる脅威・脆弱性に関する情報の収集・分析は、お客様の安全・安心を確保するために不可欠な活動で、一部についてはすでに法制化されています。入手した脅威・脆弱性情報が自社の車両や部品に関わるシステムに該当し、影響があると判定した場合には早急に対策を実施する必要があります。
まず、こうした情報収集は、セキュリティ研究者や専門家による報告書、関連メーカー等の脆弱性情報、或いは公開脆弱性情報など様々な情報源から幅広く行います。
次に、収集された膨大な情報から車両に係わる情報を的確に抽出するには、自動車とセキュリティ両方の知見が必要となります。
これまでは、こうした活動を各社が独自に実施してきましたが、費用面・工数面共に大きな負担となっています。
SOCでは、これらの活動の共通部分をまとめて行うことにより会員企業の負担を軽減したいと考えています。
さらにコネクテッドカーに関わる業界全体のサイバーセキュリティレベル向上に貢献したいと考えています。
セキュリティ人材の育成に貢献する
現時点では自動車業界の大手企業でもセキュリティのリソースは十分ではなく、一定の範囲で外部のセキュリティ企業にも協力を求めなければなりません。
協力を依頼する際に発注側が考えなくてはいけないのは、どの部分を、どこまでアウトソースするかという「線引き」です。
全てのセキュリティ対応を外部企業に任せてしまうと、その部分がブラックボックス化してしまいます。
そのため、社内で作業する部分と外部の協力に頼る部分とを切り分けた上で発注し、日々の業務の運用状況を把握する必要があります。
その中でセキュリティ人材の確保、とりわけ社内人材の育成は頭の痛い課題です。
理想の人材は、自動車システムとITシステムに知見があり、かつサイバーセキュリティにも知見がある人となりますが、そもそも数多く存在しません。業界のセキュリティ関連の会議に出席すると、キーマンとなる顔ぶれはほとんど同じで、かつ年齢層が高い方々ばかりです。
Japan Automotive ISACでは、車両に対する知見がある人材と、サイバーセキュリティのエキスパート人材がひとつのチームで作業しています。相互にこれまでに得ることができなかったノウハウを習得してもらうことを通して、コネクテッドカーのセキュリティ専門家を育成したいと考えています。
そして、こうした人材が自社に戻れば、社内のセキュリティ人材育成にも繋がることが期待されます。
情報を収集し分析できる共通基盤を構築する
一般的に自動車業界は競争が激しい業界だと考えられていますが、サイバーセキュリティ対策は協調領域です。 ここでは自動車メーカー同士、サプライヤー同士、競争相手であってもお互いに積極的に協力し合うことが求められます。 お客様の安全・安心に直結するセキュリティ品質の担保、向上を実現するためには、自動車メーカーはもとより、関係するサプライヤー(自動車部品供給業者)が幅広く協力して、関係する情報を迅速に収集し、的確に分析し、共有する基盤を早急に構築しなければならないと考えています。 また日本の自動車業界は多数の階層からなるサプライチェーンで支えられていますから、脅威情報の分析を自社のみで行うことが難しい中小規模のサプライヤーへの支援も視野に入れなくてはなりません。 一方で、国内の他業種のISACとの連携は、設立前から始まっています。 先輩格のISACは当ISACの設立前から多くの助言をしてくれました。 もちろん当ISACも後進ISACに対しては積極的に支援をしています。 現在は7つのISACによる定期会合が開催され、相互に知見を共有したり、今後の連携の在り方について協議をしたりしています。 また米国のAuto ISACとの連携も同様で、米国での総会では当ISACの活動報告を実施するだけでなく、情報共有基盤の構築について検討を始めています。