2024.09.18
Aim Higher
IoT化が進むクルマをリスクから守る～セキュリティで築く安心・安全なモビリティ社会

もともと学生時代にセキュリティを専攻していたわけではなく、入社2年目にたまたま社外の研究所に出向した際に、初めて暗号などを学び始めました。その後、せっかく身に付けた知識を仕事でも生かしたいと、携帯電話部門に異動したのです。ちょうど携帯電話がLinux（※）対応に進化するタイミングと重なり、製品のセキュリティ強化が課題として浮上しました。当時は専門人材がいなかったため、私が担当となり、初めて本格的に製品セキュリティに取り組むことになりました。

※オープンソースのUnix系オペレーティングシステムで、自由に使用・改変・配布が可能。サーバーやデスクトップ、モバイルデバイスなど幅広い用途で利用されている。

製品全体のセキュリティ強化は、技術開発だけでなく、製造やカスタマーサポート部門などにも関係します。例えば、製造時にセキュリティキーを書き込むプロセスや、カスタマーサービスで安全にロックを解除する方法などの仕組みを、それぞれに構築する必要があります。一方で、セキュリティ強化はコストがかかるし、ヘタにやると使い勝手も悪くなります。私たちにとっても、製造やメンテナンスがしにくくなったりもします。これらのバランスを取るためには、実際に商品に関わる人たちを巻き込まないといけません。まずはセキュリティの重要性・必要性を理解してもらうため、とにかく自分から動き、製造や商品開発、カスタマーサポート部門と数多くコミュニケーションを取ることからスタートしました。最終的には、セキュリティワーキングで、これらの人たちを集めて理解してもらう場をつくるなど、協力体制を構築できました。
こうした取り組みを全てゼロから手探りで始めたため、今振り返るとかなり効率が悪かったと思います（笑）。でも、そのおかげで、商品を作る上で必要な多くの要素、全てにセキュリティが関与することが分かり、製品セキュリティの重要性を理解することができました。この経験は、その後、車載セキュリティの事業化を新たに目指す際にも大いに役立ちましたね。

あまり知らない分野だったので、いろいろと調べたのですが、IPA（情報処理推進機構）が出した車載セキュリティのレポートを読んで絶句、これを私がやるのかと（笑）。
携帯電話は生命に関わるインシデントはないけれど、自動車は重大事故につながる可能性があります。そこまでの責任が持てるのかと、正直ためらいました。

これまで車載関連製品は、自動車向けの独自仕様でつくられていたため、その解析が難しく、重大インシデントのリスクは低かったのです。しかし昨今、標準技術が使われ、かつインターネット接続が当たり前になると、当然サイバー攻撃の対象になります。例えば、自動運転機能を搭載した車両がハッキングされると、制御システムが乗っ取られ、重大事故につながる可能性があります。また、スマートフォンと同様に、位置情報や移動履歴などのデータが漏えいすることで、プライバシーが侵害されるリスクも考えられます。
さらには、将来的には電気自動車（EV）をスマートグリッド（※）の一部にして、再生可能エネルギーの活用・電力供給の安定化を図る動きも進んでいます。でも、車両がインターネット経由で乗っ取られたら、電力網がストップし、社会全体に大きな影響を与えるデバイスになりかねない。これからは、自動車そのものを社会インフラの一部として考える必要があると感じています。

※従来の電力網に情報通信技術（ICT）を融合させ、供給側と需要側の両方から電力を効率的に管理・制御する次世代の電力供給システム。

自動運転機能やコネクテッドカーが普及するにつれて、サイバー攻撃の脅威も増加しています。今後もそれが続くと、自分の車は大丈夫かと不安になり、安心して乗れなくなるかもしれません。PASは「世界一の“移ごこちデザイン”カンパニー」のビジョンを掲げていますが、これも安心・安全が前提になっています。これを実現するためにも、車載分野でのセキュリティ確保はますます重要になっています。

まずは、カーメーカー様への当社が持つセキュリティ技術の紹介から始めました。当時は車載セキュリティへの関心はまだ低く、最初の3、4年はずっと売り込みをしていましたね。その後、2017年に初めてセキュリティモジュールの見積依頼（RFQ）を獲得しましたが、ようやく受注したのは2023年。6年もかかりました。この方法で本当に良いか悩みながらも、やめたら終わってしまう。セキュリティの必要性や機運自体は高まっていたので、いざ需要が来た時にすぐに動けるよう、とにかくコンタクトを取り続けました。

一つは、セキュリティソリューションに限らず、ソフトウェアやサービスを搭載するECU（※）が他社製のケースもある点です。今回、最初に受注したモジュールも、お客様であるカーメーカー様に先に購入してもらい、それを他社のECUメーカーに供給することが必要でした。お客様が必要と言っても、ECUメーカーが導入を拒否すればおしまいです。セキュリティ面で安全なものを作るのはもちろんのこと、自社でなく他社製のECUにも対応できるよう、導入先の商品を理解するとともに、お客様のニーズがどこにあるかを考えて開発を進める必要があります。他社メーカーとの間でも設計やコミュニケーションの体制を構築しなければ、事業化はスムーズにいかないと痛感しました。

※電子制御ユニット（ECU）：自動車のシステムを制御するコンピューター。エンジン、ブレーキ、快適機能を管理し、性能、安全性、快適性を向上させる。

カーメーカー様は、問題が起きた時のリスク分散のために、複数社の製品を導入します。そのためこの業界にはもともと、他社メーカーと仕様をすり合わせながら作る文化があります。ライバルでありながら協力しないと事業としては、成功しない。「共存共栄」ですね。とはいえ、競合相手でもあるので、バランスが難しいところもありますが（笑）。

車載セキュリティの立ち上げに当たり、過去に一緒に働いていたメンバーを含め、さまざまな分野からセキュリティ人材を集めました。私は携帯電話やスマートフォンですが、半導体やICカードの部門から来た人もいるし、決済端末やテレビ・ビデオのセキュリティを担当していた人もいるので、衆知を集めながら議論ができます。サイバーセキュリティ技術が最初に必要となったデジタル家電の商品開発から数えると、30年以上にわたってグループが積み上げてきたセキュリティ技術の知見が凝縮されており、セキュリティという一見狭い分野でも非常に多様性があります。これはグループの事業領域が広いからこそ。他社が簡単に手に入れられない強みだと思います。

究極の理想は、セキュリティ対策などしなくても安全で安心な社会の実現。でも、さまざまな問題が起こる社会では、それが難しいのが現状です。セキュリティの重要性や危機感は、何かが起きてからでないと感じてもらえないことが多いのですが、その中でも、パナソニックの技術が導入されれば安心だと感じてもらわなければいけないと考えています。
そこで、新たにサイバーセキュリティ技術・サービスとして「VERZEUSE®」（ベルセウス）を立ち上げ、グローバルに展開。技術やサービスが世界トップレベルであることはもちろんのこと、ベルセウスのシールが貼ってあれば、安心して車に乗れるブランドイメージの確立を目指しています。

一つは、インターネットに接続する世界中の車両をサイバー攻撃から守るために、攻撃の高精度な検知や早期対応を可能にする「車両セキュリティ監視センター（以下、車両SOC: Security Operation Center）」の構築と事業化を、パナソニック ホールディングス株式会社（PHD）と密に連携して進めています。現状では、重大事故につながる攻撃は多くないため、車両SOCビジネス自体はそれほど注目されていません。でも、自動車がインターネットにつながり、全て標準技術がベースになれば、確実に狙われる対象になります。その際、ただ検知するだけでなく、すぐに対応できないと危険にさらされ、重大事故につながる恐れがあります。現在、業界では検知に力点が置かれていますが、本来の目的は、そもそも攻撃を起こさせないこと。仮に攻撃を受けても迅速に対応できることが重要です。PHDと私たちは車両SOCの役割を広く捉え、サイバー攻撃を監視するだけでなく、重大インシデント発生時の対処と、そのタイムラグをいかに短くするかに重点を置いて開発しています。9月9日に発表した脆弱性分析ソリューション「VERZEUSE for SIRT」がその一例です。
もう一つは、後継者の育成と組織の拡大です。これまでは各分野から人を集めてきましたが、現在は集め切ってしまったのか、新たに探すのに苦労しています（笑）。今後の組織拡大に向けて、セキュリティ人材を獲得、教育する仕組みづくりにも力を入れたいと考えています。
セキュリティの開発は、対象となるモノをどれだけ知っているかが重要です。守るべきものを熟知しているからこそ、必要な要素をうまくインポートできるのです。現在は車載分野に注力していますが、事業会社をはじめ各分野のセキュリティ担当者と連携し、将来的にはパナソニックグループ全体に、ベルセウスの技術の活用を広げたいと考えています。