サイバーセキュリティ × ものづくり

SOLIZE

対談

サイバーセキュリティ領域における
コンサルティング企業 と
ものづくり企業のシナジー効果について

PwCコンサルティング合同会社
ディレクター
奥山 謙

専門分野・担当業界:
Technology Consulting、サイバーセキュリティ

日系電機メーカーのソフトウェア開発専門会社にて、製品のセキュリティ対策の現場で長年にわたり活動。
その後、PwCコンサルティング合同会社にて、製品開発におけるセキュリティ対策の分野において長年の豊富な経験を活かし、製品およびソフトウェア開発におけるセキュア開発ガイドラインの策定、セキュア開発活動の監査、開発者支援および教育、製品リリース後の脆弱性マネジメントなどに携わる。
内閣府主導の「戦略的イノベーション創造プログラム(SIP)」などの業務に従事し、車両セキュリティ評価などの活動をリード。組み込み製品やソフトウェアサービスなどのソフトウェア開発を通じて、実践的なセキュリティ対策提案などで貢献してきた。

PwCコンサルティング合同会社
シニアマネージャー
和栗 直英

専門分野・担当業界:
Technology Consulting、サイバーセキュリティ

ネットワークエンジニアとしてネットワーク機器(ギガビットイーサネットやマルチレイヤスイッチ)のソフトウェア品質評価やテスト自動化の推進、開発業務を経て、国内セキュリティベンダーにて、スマートフォンをはじめとしたIoT機器や自動車セキュリティの調査研究、脆弱性診断等を担当。調査研究成果はCODE BLUE※1やSCIS※2で発表している。
2019年にPwCコンサルティング合同会社に入社、おもに自動車セキュリティ領域におけるプロジェクトやサービスを担当。

SOLIZE株式会社
デジタルドリブンエンジニアリング事業部
デジタルマニュファクチャリングサービス事業部
執行役員
井上 雄介

2003年 株式会社本田技術研究所入社。
オートバイの開発に16年間従事。オフロード競技専用車の車体設計責任者および開発責任者、また世界選手権や全米選手権、全日本選手権のモトクロスレース開発責任者を担当。
その後、PwCコンサルティング合同会社にて、自動車メーカーのDX(デジタルトランスフォーメーション)やサイバーセキュリティ法規対応に携わる。
現在はSOLIZE株式会社 デジタルドリブンエンジニアリング事業部、デジタルマニュファクチャリングサービス事業部の執行役員として、デジタルエンジニアリングに関する受託事業と、デジタルマニュファクチャリング事業を統括している。

SOLIZE株式会社
デジタルドリブンエンジニアリング事業部
デジタルリスクマネジメントサービス部
部長
澤 謙太

2008年 株式会社本田技術研究所入社。
PLMを中心とした社内ITシステムの開発や運用保守業務に従事後、自動車セキュリティ活動を中心にテレマティクス関連システムの開発に従事。
その後、PwCコンサルティング合同会社にて、自動車セキュリティコンサルタントとしてさまざまな案件に従事。
現在はSOLIZE株式会社 デジタルドリブンエンジニアリング事業部 デジタルリスクマネジメントサービス部の部長として、自動車セキュリティをはじめとするセキュリティ事業をリードしている。

2022年3月にPwCコンサルティング合同会社(以下、PwC)において開催されたハッキングコンテストのシステムを共同開発したPwCの奥山様と和栗様をお招きして、「サイバーセキュリティ領域におけるコンサル企業とものづくり企業のシナジー効果について」をテーマに対談をしました。

ハッキングコンテスト

― 自動車へのサイバー攻撃手法を調べるためにハッキングコンテスト(Capture The Flag、以下CTF)を開催

SOLIZE 井上

CTFに携わることができ、大変光栄です。開催のきっかけをお聞かせください。

PwC 奥山様

数年前から国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)の戦略的イノベーション創造プログラム(SIP)※3で将来普及が想定される自動走行システムの共通モデルに対するサイバーセキュリティ脅威の全体像を調査・分析し、セキュリティ評価手法の確立を目指す活動を実施していました。
この活動の一環で、自動車へのサイバー攻撃を検知する手法を調査する目的で、CTFを開催しました。

SOLIZE 井上

今回のような取り組みは、他に類を見ないのではないのでしょうか。

PwC 和栗様

自動車のCTFは過去にも開催された事例があります。たとえばアメリカで毎年開催されているイベント、DEF CON※4にて行われているカーハッキングビレッジの中で行われています。ただ日本国内ですと、自動車向けのCTFはかなり珍しい上、コネクテッドカー※5を対象に、自動車のアーキテクチャをEND to ENDで再現する※6といったソフトウェア上のシミュレータと完全リモートの環境でCTFを実施したことは初めての事例だと思います。また、コンサルティング会社が実際にモノを作ってCTFイベントを主体的に開催することは珍しいケースです。

SOLIZE 井上

PwC様は製造業のDXを支援されていますが、実際にモノを作っているのは今回初めて拝見しました。
今回、SOLIZEをパートナーにした理由をお聞かせください。

PwC 奥山様

今回のCTFでは複数のオンライン参加者に対応する必要などがあり、攻撃対象として実車を用いるのは難しい状況でした。その中で、MBD(Model Based Development:モデルベース開発)といった自動車制御に対する知見や、3Dデータの作成、3Dプリンターを活用したものづくりのスキルなどから、今回のCTFのパートナーとして適切と考えました。

SOLIZE 澤

構想当初は我々の強みである3Dプリンターを活用して実車に近いものを製作することも視野に入れていましたが、オンライン主体となりデジタル空間で完結させることになりました。今回のCTFではCAN※7のシミュレーションと3Dモデルの自動車を連動させることで実現していますが、我々としても新しい試みとなりました。

PwC 奥山様

今回開発したCTF環境は、教育ツールとしても活用できると考えています。たとえばクライアントの方にCTF環境をお持ちしてエンジニアの皆さまに攻撃してもらったり、チーム演習として守り方を実体験したりするコンテンツとしての活用です。

PwC 和栗様

教育以外にも、新しい技術を検証するためのプラットフォームにも活用できると思っています。たとえばIDS※8を開発した際、PoC※9のプラットフォームとして今回の環境を活用いただくなど、さまざまな形で発展できると思います。

SOLIZE 井上

モノとして目の前で見えていることで活用しやすいと思いますし、教育・技術検証といった発展性もありますね。今回、ものづくり企業と一緒に取り組まれて、いかがでしたか。

PwC 奥山様

SOLIZE様はもともとものづくりが得意で、それに加えてサイバーセキュリティも推進されていました。サイバーセキュリティを専門としていない方がパートナーでしたら、セキュリティ部分はPwCだけで検討することになっていたと思います。その点でいうと、サイバーセキュリティの知見があり、かつ、ものづくりのできるSOLIZE様に依頼したことは良い結果につながったと思います。

SOLIZE 澤

SOLIZEではまさにコメントいただいたような、ものづくりもサイバーセキュリティもわかる人材・チームを意識して、体制の構築や社内トレーニングを行っています。

― 社会課題を解決するための企業や組織、体制はお客さまの助けになる

SOLIZE 井上

SOLIZEではおもに自動車業界における設計、解析、3Dプリンティングに強みをもっています。現在はサイバーセキュリティや、ソフトウェア、XRの分野にも参入しており、技術協力の幅は拡大しています。
CTFで使用したUnityを教育で活用しているチームがあり、今回は私の担当外の部門からも協力してもらっています。改めてこのようなところに活かせると実感しました。

PwC 奥山様

PwCには、ビジネス(Business)・エクスペリエンス(eXperience)・テクノロジー(Technology)の3つを組み合わせたアプローチ「BXT」があり、今回はエクスペリエンスの観点で、目に見える・体感できるシステムとなりました。BXTを訴求する意味で、我々としても良い取り組みになりました。

SOLIZE 澤

これまで自動車に対するエクスペリエンスとして、今回のシミュレーションのような形での見える化はありませんでしたね。

PwC 和栗様

そうですね。これまで自動車は、物理的な見える化はありましたが、シミュレーションのような見える化はチャレンジングな取り組みだったと思います。

SOLIZE 井上

PwC様は今回、コネクテッドカーを対象としたCTF開催ということで、サーバーやWebサイトの構築を担当されていました。私も以前在籍していたので知っているのですが、コンサルティング会社に自社開発できる人材がいらっしゃるのは珍しいですよね。

PwC 奥山様

PwCにはデジタルファクトリーという開発チームがあります。コンサルティングのみのビジネスから発展するために、ツール化や必要なサービス開発ができる人材が集まったチームです。先ほどのエクスペリエンスを打ち出せるテックラボというチームもあり、コンサルティング以外にも専門性を持つ人材を集めています。

SOLIZE 井上

私たちのように、自動車をはじめとする製造業の知見を持ちながら、新たにサイバーセキュリティの分野に参入した企業について、どのように感じますでしょうか。

PwC 奥山様

PwCがコンサルティングだけで多数の自動車会社様を支援することは現実的に難しい部分もあります。その状況で、自動車セキュリティがわかる方が増えることは心強く、本当に困っているお客さまを助けることにつながると考えています。

PwC 和栗様

セキュリティのわかるエンジニアの絶対数が少ない問題もあります。SOLIZE様はエンジニアリングを生業としつつ、セキュリティにも力を入れているので、一緒にプロジェクトを進めていくパートナーの候補として良いと思っています。

SOLIZE 井上

私自身はレース開発の経験で、ファンを楽しませることはできましたが、純粋に人を助ける仕事ではなかったなと常々思っていました。PwC在籍時にサイバーセキュリティを知り、強い関心を抱き、SOLIZEでサイバーセキュリティを始める際は社会に貢献できる仕事なのだと強く思いました。

PwC 奥山様

社会課題を解決するのはPwCのPurpose(存在意義)であり、我々と一致しています。未来を考えると自動運転は絶対必要であり、そこではセキュリティも必要になります。こういった観点でも、サイバーセキュリティの取り組みは社会解決につながるテーマだと考えています。

― CTF環境はセキュリティを学ぶツールとして有効活用できる

SOLIZE 井上

先ほども教育や人材の話が挙がりましたが、国内におけるセキュリティ人材不足が課題として挙がっています。コンサルティング会社としてさまざまな企業と関わる中で、自動車業界におけるセキュリティ人材の不足は感じられますか。

PwC 和栗様

セキュリティ人材不足はPwCが実施したセキュリティ実態調査からも明らかになっています。自動車の知見とセキュリティの知見、両方を兼ね備えた人材が必要なのだと思います。

SOLIZE 澤

SOLIZEでは自動車の品質活動をしていたエンジニアに対する教育は相性がよく、品質フローに乗せてセキュリティの考え方を教えることで、受講者が自分自身でアプローチできるセキュリティエンジニアが増えてきています。
テクニカルでもCANに携わっていたエンジニアにも教育しています。自動車セキュリティ業界において、人材はどのように増やしていくと良いと思われますか。

PwC 奥山様

自動車を知っている多くの人がセキュリティを学ぶことが一番良い方法だと考えています。

SOLIZE 井上

多くの人がセキュリティを学ぶということで、今回CTFで作ったモノは教育の場で使えると思われますか。

PwC 奥山様

普段コネクテッドサーバーを開発している人が自動車への攻撃に挑戦してみたり、自動車開発をしている人がコネクテッドサービス経由の攻撃を試してみたりすると、全体的なシステムを学ぶことができます。また、攻撃者がどのように攻めるのかを実体験できますので、いろいろな方が学ぶ環境としてふさわしいシステムになったと考えています。

SOLIZE 澤

我々も指導者の立場として、今回のツールは教育に活用していきたいと考えています。実車に対して攻撃を試すには安全に配慮しなければならないので大変ですが、シミュレーション上であれば気軽に学ぶことができると思っています。

PwC 奥山様

自動車開発自体はしていない我々としても、シミュレーション環境でさまざまな試行ができるとメリットがあります。

― MBDの新たな可能性とCODE BLUEについて

SOLIZE 井上

今後も新しいチャレンジを含め、PwC様と共にサイバーセキュリティ分野を盛り上げていればと考えています。

PwC 奥山様

先ほど人材不足に触れましたが、それへの解決策としてツール化や自動化といった、人手によらない取り組みもあり、それが次のステップと考えています。その意味では、SOLIZE様の取り組みの1つである、MBDを活用した施策にも興味をもっています。

SOLIZE 井上

MBDですと自動運転のシミュレータがあり、自動運転をシミュレートした形がすでにでき上がっています。サイバーセキュリティとの親和性はとても高い部分です。新しいMBDへのチャレンジ、CTFを通じた人材教育、仮想シミュレーションや3Dプリンターを活用したセキュリティ研究なども一緒に取り組み、セキュリティ分野を盛り上げていきたいですね。

PwC 和栗様

新しいチャレンジについて、2022年10月27日から28日に行われるCODE BLUEでCTFを開催します。2022年3月のCTFで構築したCTF環境を拡張する仕組みを考えています。前回のCTFはフラグを埋め込まない実験的なもので、攻撃してもらいログを見て攻撃者のアクティビティを知ることが目的でした。CODE BLUEでは明確なフラグを用意し、参加者にはフラグを見つけ報告してもらうことを考えています。SOLIZE様への期待としてフラグを策問してもらうことと、VRという形で仮想車両全部を同じ空間で見えるようにすることがあります。メタバースのような空間に参加者が入れるようにし、外部の人は観戦モードにすることで観戦者としてその場に入れる空間を作る計画です。

PwC 奥山様

BXTの方針に沿って、CODE BLUEでのCTFもエクスペリエンス性を高めることを考えています。皆さんに実体験していただけるようなものができればと考えています。

SOLIZE 澤

我々も実現性について考えています。フラグを策問するのも、いかにリアルに考えるかがおもしろいところです。

PwC 和栗様

現実にあり得ないフラグではなく、実際の脅威シナリオに沿ったフラグを検討することからも、セキュリティエンジニアとしての技術が得られます。運営する側の視点でも教育のためのイベントとして考えています。

SOLIZE 井上

ぜひ今後も一緒に進めさせていただければと思います。本日はありがとうございました。

  1. ※1 CODE BLUE:世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議。
    https://codeblue.jp/2022/
  2. ※2 SCIS (Symposium on Cryptography and Information Security):暗号と情報セキュリティ技術に関する最新の研究成果を発表し、情報交換をする場として毎年日本国内で開催されるシンポジウム。
  3. ※3 戦略的SIPプロジェクト:内閣府総合科学技術・イノベーション会議が司令塔機能を発揮し、科学技術イノベーション実現のために創設した国家プロジェクト。
    https://www8.cao.go.jp/cstp/gaiyo/sip/sipgaiyou.pdf
  4. ※4 DEF CON:アメリカネバダ州ラスベガスで毎年開催される世界最大かつ最も注目すべきハッカーコンベンションの一つ。
  5. ※5 コネクテッドカー:インターネットへの常時接続機能を具備した自動車。
  6. ※6 自動車のアーキテクチャをEND to ENDで再現する:Webのポータルサイトから、アプリケーションサーバー、その後TCUがあり、さらにそこにつながる自動車がある設計思想を再現する。
  7. ※7  CAN (Controller Area Network):現行の市販車に広く用いられている車載ネットワーク。
  8. ※8 IDS (Intrusion Detection System):侵入検知システム サーバーやネットワークの外部との通信を監視し、攻撃や侵入の試みなど不正なアクセスを検知して管理者にメールなどで通報するシステム。
  9. ※9 PoC (Proof of Concept):概念実証。新たなアイデアやコンセプトの実現可能性やそれによって得られる効果などについて検証すること。

資料請求・お問い合わせ

サービスに関する情報をはじめとした各種資料(PDF)をご提供しています。
お気軽にお問い合わせください。