自動車セキュリティは義務的作業ではなく、イノベーションを促進する土台だ：つながるクルマ キーマンインタビュー（2/2 ページ）

コネクテッドカーの普及に備えてセキュリティの重要性が高まっているが、自動車業界はどのように取り組むべきか。Tenableの共同設立者兼CTOであるRenaud Deraison（ルノー・ディレイソン）氏に話を聞いた。

[齊藤由希，MONOist]

セキュリティは、ソフトウェアエンジニアの腕の見せ所

MONOist　今後、自動車は、セキュリティを十分に考慮した正しい設計であることを客観的に証明することが求められるそうですね。

ディレイソン氏　ソフトウェアの完成品ではなく、開発プロセスを示すことが重要になる。複数のチームがどのように開発に携わって、ソースコードがどのように書かれて、試験がどう実施されて、デザインがどう決まったか見せられれば、セキュリティを考慮したことを客観的に示すことができる。メソドロジー（方法論）があれば、ソフトウェアがセキュアである可能性が高いと考えることができる。完成品だけを評価しても意味がないし、セキュアさはどう示していいか分からないだろう。

　自動車のソフトウェア開発に関する規制が決まる前に、自分たちでどのようにソフトウェアを開発したいのか、開発プロセスを考えるべきだ。クルマにはソフトウェアで動くコンポーネントが増えているので、それに合わせてリスクも増えている。さまざまな会社が革新的なものを出そうとするレースの中で、冷静かつ慎重に開発プロセスを決めた上で、革新的なものを開発することが重要だ。

MONOist　セキュリティとソフトウェア開発のやりがいは共存できますか。

ディレイソン氏　セキュリティは義務ではなく、イノベーションを促進するために必要だと考えている。例えば、Mercedes-Benz（メルセデスベンツ）が渋滞情報を共有するV2V（車車間通信）についてアナウンスした。セキュアでなく、ハッカーがうその情報を流せるような状態では、クルマ同士が対話する機能はあり得ない。安心して使えるからこそ製品として世に出てくる。セキュリティがイノベーションを実用化する。

　ソフトウェア開発者は、信頼性の高いソースコードを書くことを誇りに思う。「セキュリティ＝バグ」という概念があれば、ソースコードの信頼性やクオリティーを示すことはやりがいになるのではないか。

　自動車業界は大きな変化が起きているエキサイティングな時期だ。十数年前、クルマのイノベーションといえば燃費改善くらいだった。DevSecOpsがイノベーションを革新する。成功する自動車メーカーはDevSecOpsを導入する会社になるとみている。

MONOist　自動車業界には既にソフトウェアの資産があります。今あるものをセキュアに使い続けることはできますか。

ディレイソン氏　継続した改善を行うことが一番重要だ。今、世の中を走っているクルマは、深刻な脅威にはさらされていない。ハッキングによってどこかにぶつかったという事も聞いていない。現在重要なのは、理論上の脅威への対応だ。「いつか、こういうことが起きるかもしれないから、早く修復しよう」ということ。数年がかりになるが、自動車メーカーはさまざまなサプライヤーに対して、少しずつ自動車メーカーで決めたルールを共有し続けなければならない。

MONOist　EVの増産に向けて工場を刷新する自動車メーカーが増えていますが、セキュリティの観点で取り組むべきことはありますか。

ディレイソン氏　工場を一から作り直すのは、セキュリティを高めるチャンスだ。今までの工場はITが少しずつ入っており、事前に設計された形ではない。工場を新しくする時にITをよりよい形で設計することができるし、デザイン通りの工場になればセキュリティがよくなる。

　OT（制御技術）は、セキュリティ意識の向上が必要な分野の1つだ。工場や発電所はもともとインターネットにつながらない前提で設計されていたが、IoT化が進み始めた。その結果、セキュリティ管理に問題が出てきた。IoT機器をITチームでなくオペレーションチームが管理しており、パッチが配布されず、システムを維持する必要性を分かっていないというケースがある。デジタルトランスフォーメーションに向けて、工場などでどうシステムを管理するか、考え直す時に来ている。