コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。
乗用車だけでも2020年に3400万台、2035年に1億台超に市場が拡大するといわれているコネクテッドカー。乗用車の新車販売台数に占めるコネクテッドカーの比率は2022年に5割弱、2035年に9割を占めるという予測もある。
コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison(ルノー・ディレイソン)氏に話を聞いた。
MONOist 自動車関連ではどのような企業と関係がありますか。自動車業界はどのような課題に直面していますか。
ディレイソン氏 最近は、電気自動車(EV)を手掛ける新興メーカー向けにソフトウェアのリリース前にミスコンフィギュレーションやセキュリティの問題がないか検証するためのツールが採用された。新興自動車メーカーだけでなく、大手自動車メーカーやサプライヤーなどさまざまな企業と話している。
最近のクルマは、たくさんの小さな個別のコンピュータで構成されており、それぞれのコンピュータを異なる企業が供給している。チャレンジになるのは、クルマの開発を上回るスピードでソフトウェアイノベーションを加速させることだ。高い頻度で、セキュアにソフトウェアを更新することが課題となっている。
MONOist 自動車業界の中では、セキュリティに関する工程が開発プロセスの中で後回しにされがちだという話を聞きます。
ディレイソン氏 そういう話は聞いたことはあるが、セキュリティにはいろいろなレイヤーがある。温度差があるとすれば、サプライヤーの文化によるところが大きい。ソフトウェアに関するバックグラウンドがあり、知識が深いサプライヤーであれば、開発を通してセキュリティをテストする文化がある。しかし、ハードウェアのバックグラウンドが強く、最近になってソフトウェアを手掛けるようになった企業では、危険を認識しておらず、知識を深める必要がある。
このように、企業ごとにセキュリティに対する認識や定義、取り組みにばらつきがある。これを一定の水準に平準化するために、各国の政府はソフトウェアに関する規制を取り入れるだろう。
クルマの物理的なコンポーネントは、認証を得るためのさまざまな試験方法が厳密に規定されている。衝突試験がその例だ。また、シートベルトなどは多少の変更であっても再度認可を取得する必要がある。しかし、ソフトウェアはさほど注目されずに変更できるのが現状だ。例えばTesla(テスラ)はソフトウェアの更新に関して行政の許可を得る必要はない。規制が生まれると進化の速度が下がるが、いつかはどの国にもそういった規制が出てくる。
MONOist 自動車を含むさまざまな業種でセキュリティ分野の人材が不足しているといわれています。どのように対処していくべきでしょうか。
ディレイソン氏 リソースが足りないという認識に100%は同意できない。人手不足はよい言い訳ではない。全てのセキュリティ問題はバグから生まれる。バグが問題の大本だ。ソフトウェアのライフサイクルの中で、開発しながら十分な検証を行い、それらを管理するプロセスの導入によってしっかりコントロールすることで、セキュアなソフトウェアを開発することができるはず。堅牢なソフトウェアの背景には堅牢なソフトウェア開発プロセスがある。
バグとセキュリティは別のものだと思われがちだが、問題は一緒だ。ソフトウェアにバグがあるのは、機械部品が物理的に機能しないのと同じような話で、問題があれば対処するという認識が必要だ。今後、セキュリティで大きな問題を起こす会社は、もともとソフトウェアに大きな問題を抱えているはずだ。その現状を変えるのに一番効果的なのは、セキュリティで実績のある会社で働いた経験のある人を雇うことだ。ソフトウェアファーストなDNAを取り入れる必要がある。
MONOist セキュリティに関して、何を学んでいくことが重要でしょうか。
ディレイソン氏 自動車もIoT(モノのインターネット)の1つだが、IoTという分野全般でセキュリティに対する認識は低いので意識を向上していく必要がある。開発部門が、よりセキュリティを考慮した上で開発を進めるという教育も求められている。これまでは開発部門がソースコードをつくり、セキュリティ部門が検証するというやり方だったが、同じチームでやるケースが増えている。ソースコードを生み出す人とバグを確認する人が1つのチームとなるやり方を普及させていきたい。
MONOist どのくらいの企業がそれを実践できていますか。新しい開発思想を取り入れるには苦労が多いです。
ディレイソン氏 これは「DevSecOps」(※)という開発思想だ。採用する企業が日々増えている。伝統的なソフトウェア企業での採用が早かったが、今はどの業種でも取り入れ始めている。
(※)要件定義から開発、運用まで一貫したセキュリティポリシーを適用すること。開発者と運用者が、前工程で脆弱性を動的に検出し、修正コストを下げる。
従来のやり方はセキュリティと開発が分断していて、いい関係ではなかった。新しいものを導入して前に進みたい開発部門と、慎重に進めたいセキュリティ部門が対立していた。このやり方から離れて再起動して、セキュリティと開発が同じレイヤーになるともっといい関係が作れる。同じチームで、同じゴールを持つ。開発は新しいものをつくり、セキュリティは新しいものを安全に導入するためのガードレールとなる。セキュリティは「これはできません」と反対するチームから、どうやって安全に実現するかを考えるチームに変わることができる。
浸透するのは時間の問題だ。ソフトウェア開発に関する政府からの規制が、こうした設計思想を取り入れていくことを後押しするだろう。やらざるを得なくなれば浸透する。「ソフトウェアの開発ライフサイクルを通して基準を満たしなさい」という枠組みになるので基準が明確になり、ソフトウェアに対する知識がばらついている状態が一定水準にならされる。
Copyright © ITmedia, Inc. All Rights Reserved.