全2488文字

デンソーはさまざまなサイバーセキュリティー技術を開発し、同社の製品に組み込んできた。その一方で自前主義にはこだわらず、外部のセキュリティー企業との連携も推進している。セキュリティー評価ではNRIセキュアテクノロジーズと共同でNDIAS(エヌディアス)を設立した。VSOC(車両セキュリティー監視センター)ではNTTコミュニケーションズと技術検証を進めている。

 「サイバーセキュリティーは品質保証の一環、または品質そのものと考えている」。デンソー執行幹部、情報セキュリティ推進部部長の後藤俊二郎氏はこう話す(図1)。ECU(電子制御ユニット)は機能の統合化が進み、ソフトウエアの比重が高まっている。コネクテッド機能も加わり、セキュリティーが品質に重大な影響を及ぼすようになった。「ECUのセキュリティーを保証するのは我々の仕事」(同社電子PFシステム開発部部長の寺島規朗氏)と自負する。

(a)
(a)
[画像のクリックで拡大表示]
(b)
(b)
[画像のクリックで拡大表示]
図1 「セキュリティーは品質そのもの」と考える
(a)デンソー執行幹部、情報セキュリティ推進部部長の後藤俊二郎氏、(b)同社電子PFシステム開発部部長の寺島規朗氏。(出所:デンソー)

 同社は2014年にセキュリティーの専門部署を立ち上げ、関連法規への対応や国際標準への貢献、技術の開発・運用を進めてきた。すでに同社のECUには、さまざまなセキュリティー技術が搭載されている。例えば、トヨタ自動車の高級セダン「レクサスLS」と燃料電池車(FCV)「MIRAI(ミライ)」に搭載された高度運転支援システム「Advanced Drive」向けECUにも、デンソーのセキュリティー技術が生かされている(図2)。

図2 レクサスLSとミライに搭載されたデンソー製品群
図2 レクサスLSとミライに搭載されたデンソー製品群
(a)トヨタのレクサスLSとミライ。(b)レクサスLSとミライが搭載する高度運転支援システム「Advanced Drive」のシステム構成。(出所:トヨタ、デンソー)
[画像のクリックで拡大表示]

第三者目線でセキュリティーを評価

 同社はセキュリティーの「仕組み」と「技術」で組織を分けている(図3)。仕組みを構築するのが「情報セキュリティ推進部」である。開発段階のV字プロセスでセキュリティーを導入・評価するための仕組みを整備するほか、製品が市場に出た後のインシデント対応に向けた体制を整える。

図3 セキュリティーの仕組みと技術
図3 セキュリティーの仕組みと技術
セキュリティーの仕組みを情報セキュリティ推進部、技術を電子PFシステム開発部がそれぞれ担当する。(出所:デンソー)
[画像のクリックで拡大表示]

 22年から始まるセキュリティーの義務化に向けては、18年からグループを挙げて取り組んできた。「セキュア開発プロセスや、製品監査について社内で規定し、運用を進めてきた」(後藤氏)。セキュア開発プロセスは、現場での教育やOJT(On-the-Job Training)を通じて浸透を図っている。製品監査については、20年度から体制の構築に着手した。現在は「監査能力の確保が喫緊の課題」(同氏)であり、21年度はグループ会社を含めて監査人材を育成する。「デンソー製品をカバーするための人材育成は21年内に完了する予定」(同氏)である。

 18年12月には、セキュリティーの適切さを第三者目線で評価する仕組みとして、NRIセキュアテクノロジーズと共同で新会社NDIAS(エヌディアス)を設立した。「侵入テスト(ペネトレーションテスト)やセキュリティープロセスのコンサルテーションといったサービスを外部に提供している」(同氏)。また、こうした活動を通じてホワイトハッカーを育成し、「セキュリティープロセスの構築や運用を支援できる体制を作っている」(同氏)。エヌディアスは人材育成面でもデンソーに良い影響を与えているようだ。