自動運転やMaaS(モビリティー・アズ・ア・サービス)の時代に突入し、ソフトウエア化する自動車に対するサイバー攻撃の脅威は増すばかりだ。自動車のセキュリティー診断スキルを備えた人材の確保は、自動車業界にとって今後深刻な問題になりそうだ。
そんな状況に手を打ったのが、自動車部品メーカー大手のデンソーだ。同社はITセキュリティーサービスのNRIセキュアテクノロジーズ(以下NRIセキュア)と折半出資で、2018年12月に新会社「NDIAS(エヌディアス)」を設立する。「自動車のセキュリティー診断ができる技術者を確保すること。それがデンソーと当社がNDIASを作る理由だ」。NDIAS社長に内定しているNRIセキュアの橋本幸典サイバーセキュリティ技術開発部長はこう言い切る。
デンソーの早川浩史モビリティプラットフォーム開発部セーフティ・セキュリティ技術開発室長は、新会社設立の経緯を「モビリティーサービスの時代も車載電子製品のセキュリティーを自社で担保したいと考えた」と説明する。新会社の資本金は1億円。両社から出向した合計約10人の陣容で業務を開始する。人数比率は非公表だが、診断サービスを手掛けるNRIセキュアからの社員のほうが多くなる見込みだ。まずはデンソー製のECU(電子制御ユニット)や通信ユニットのセキュリティー状況を診断できる体制を整える。その後、デンソーが部品を納める完成車メーカーの需要を開拓しながら事業を拡大していく考えだ。
自動車セキュリティーに診断義務化の流れ
デンソーが共同出資会社の設立にまで踏み込んだのは、自動車のセキュリティー診断の需要が急拡大し、診断サービス事業者の奪い合いが生じるとみたからだ。「5年後には自動車関連のセキュリティー診断の件数が現在の10倍以上に増える」(NRIセキュアの橋本部長)。これまで自動車メーカーや部品メーカーは安全性を評価するために自主的にセキュリティー診断を受けていた。それが義務付けられる可能性が出てきたのだ。
きっかけは2017年3月だ。国際連合の自動車基準調和世界フォーラム(WP29)が自動車関連のサイバーセキュリティーに関するガイドラインを成立させた。自動車におけるデータの保護や通信の安全確保などを求めるとともに、外部機関の審査による安全性の証明を推奨した。WP29は義務化の方向で検討を進めており、「型式の認証を得るためにセキュリティー診断が必須になる可能性が高い」(橋本部長)。自動車メーカーは完成車に対して診断を受けるだけでなく、部品メーカーなどに対してECUや通信ユニットを調達する際にセキュリティー診断での「合格」を条件に課す場合が出てきそうだ。
デンソーの早川室長は「法規制のタイミングまでにセキュリティー診断に必要なホワイトハッカーの人数をそろえ、その体制を維持できるようにするには共同出資会社設立という手段が最適だった」と話す。診断が義務化された後に需要が急激に拡大しても、診断員を増やすペースが追い付かない恐れがある。「診断にはIT分野のセキュリティーの知識と、組み込みシステム開発の知識の両方が必要になる」(NRIセキュアの橋本部長)ため、育成に時間がかかる。ただでさえIT人材不足、セキュリティー人材不足であり、外部から短期間に雇い入れる手は取れない。ならばとデンソーは先手を打ったわけだ。
