こんにちは。かなり久々に更新しますので、書き方はあまり覚えておらず、読みづらかったら申し訳ありません。今年は色々アウトプットしていこうと思い、まずはこの記事を書くことにしました。
※この記事は私が独断と独自の知識で書いたものであり、どの企業とも一切関係ありません
また、久々に書くということでちょっと前に流行っていたObsidianを活用してみました。様々なプラグインがあり、Git Hubへの自動バックアップもできて便利ですね。
目次
自己紹介
以前大昔に書いた私に関する記事は以下になります。
前職ではデロイトトーマツグループの1社である「デロイトトーマツサイバー合同会社」にて、自動車セキュリティのコンサルティング業務に従事してました。
メインの分野としては、自動車セキュリティにおける法律・規格・マネジメント・ガバナンスでした。
現在は、別のシンクタンク系のコンサルティング企業にて、引き続き自動車セキュリティの業務に従事しておりますが、今後はもう少し技術寄りの業務に携われると期待しています。
ちなみに2023年には山梨に移住し、基本的には平日はリモートワーク、土日には山に登る生活をしています。
この記事ではなすこと
以下について、自分なりにまとめました。
- 入社〜退社までに何をしていたか/何があったか
- 自動車セキュリティ(車載セキュリティ)の現状はどんな感触か
- 今後どうしていきたいか
こんな人向け
以下の人には参考になるかもしれません。
- 新卒でコンサルティングファームへ入社した方
- 第二新卒、もしくは20代あたりにコンサルティングファームへ転職した方
- コンサルティングファーム(もしくはコンサル関係)への転職を検討されている方
- 自動車のセキュリティ動向についてなんとなく知りたい人
前職は何をしていたか
冒頭に書いた通り、前職はデロイトトーマツサイバー合同会社というところで自動車セキュリティに関する様々な業務を行っていました。
整理すると、大きく以下の業務がありました。
- セキュリティアドバイザリ業務
- セキュリティ体制構築支援
- セキュリティ認証(CSMS認証)取得支援
- セキュリティエビデンス作成支援
- セキュリティリスクアセスメント実施
- セキュリティテスト実施
- その他
- 標準化・業界貢献活動
- 他業界の技術動向・法規動向の調査
- 業界団体からのセキュリティアドバイザリ
- ワーキンググループ貢献活動
一つ一つについての詳細はここには書きませんが、大手企業や業界の代表団体に対して様々な業務を提供できたのは良い経験となりました。
特に多かった案件は、上記のうち「セキュリティ体制構築支援」と「セキュリティリスクアセスメント実施」です。
セキュリティ体制構築支援とは
ここでは、特に自動車OEMやサプライヤなどにおいて求められるCSMS(Cyber Security Management System)の認証を取得するために必要な体制の構築支援を意味します。
検索いただくとたくさんの記事がヒットすると思いますが、現在日本国内において新しい自動車を販売するためには、その型式ごとに取得が必要となる「型式認証(Vehicle Type Approval, VTA)」と、その自動車を作るOEMがきちんとしたセキュリティ体制を構築していることを証明する「プロセス認証」の2つが必要です。
前職では、このプロセス認証に向けた体制構築支援をしてました。
セキュリティリスクアセスメント実施とは
「型式認証」の取得では、認証を取得する対象車両の型式毎に必要なエビデンス作成が求められます。
例えば、トヨタのプリウスには年式やグレードが異なるものが様々あると思いますが、それぞれは型式と呼ばれる単位で分けられており、それぞれごとにセキュリティ的にOK!というエビデンスを作成し、当局に提出が必要となるわけです。
セキュリティリスクアセスメントは、以下のようにV字の開発プロセスにおいても左側に位置し、開発前の事前検証に当たる業務であり、机上での検証になります。
ここで発見されたセキュリティリスクについては、設計・構想に立ち戻りリスクがなくなるように修正もしくは対策導入の上、再度アセスメントを行い検証します。
なぜ転職することにしたのか
もともと、自動車のCANをいじったり、クラウドを触ったりなど技術的な領域に関与したいと思っていたのですが、思ったより前職ではそういった業務に関与することができないまま4年と半年ほどが過ぎてしまいました。
どうやら私はコンサルティングそのものがある程度向いていたようで、物事の課題を分解し、整理し、その解決策をまとめお客様へ提示する、という一連の流れをうまく回すことができていました。
また、小規模ではあるもののプロジェクトリードと任せていただくなど、ある程度は自身で業務と回せるようになっていました。
経験としては、先程述べたように、デロイトだからできるような大きな規模の案件をいくつか積むことができましたが、ペンテスト等、もう少し技術寄りの領域についても学び、自動車セキュリティ全体を深く知りたいと感じていました。
そこで、現在の会社の方からお話をいただき、1年以上検討したのち転職しました。
どうするべきだったのか?
これは自動車という業界に関係ないのですが、近年セキュリティの分野でも優秀な学生はコンサルティングファームへ吸い込まれる、、、もといコンサルティングファームへ入社することが多いのではないでしょうか。
研究室訪問等を行い、事前に優秀な学生を見つけておいて、インターンシップ等を通してコンサルティングという業務を知ってもらう等、近年は新卒採用もかなり積極的になってきているように感じています。
コンサルティングファームといっても、ラボやレッドチーム、ブルーチームといった技術的に特化した専門的なチームを備えている企業もいくつかあり、そこへ配属となれば良いかもしれません。
ですが、特に私のように自動車×セキュリティの技術的なチームとなると、新卒入社やチームの関係等あり配属は難しかったかもしれません。
もちろん、これまで学んだ知見をコンサルティングを通じてお客様へ提供しつつ、総合的な知識を広げていきたいという方もいるかもしれません。
私の場合は、自動車セキュリティ一本でやっていく!そのためにはもっと深いところまで関与しないと難しい、ということをひしひしと感じ、最終的には事業会社でもやっていけるようなスキルを身に着けたいと思い転職にいたりました。
私が就職したのは2019年とセキュリティのコンサルティングというのはまだまだ業界的にはボリュームが小さく、新卒で就職するような業界ではありませんでした。そのため、現在入社を考えている方は、「コンサルに向いているか」「これからも知識を吸収しつつ、それらをお客様へ提供していく自身はあるか」、あとは「コミュニケーションは得意か」を改めて考えてみると良いかと思います。
また、デロイトにもそうした私の希望するようなチームがなくはなかったのですが、私の中では自動車業界に関与すること>技術的な業務をすること、であったため、各業務はそれなりに楽しみつつやっており、私の希望をマネジメント層の方々がキャッチアップできていなかった(気づいていなかった)のも大きかったかと思います。
4年間の振り返り
入社〜転職までのざっくりとした出来事をまとめました。
入社してから1年と経たずにコロナ禍となり、リモートワークがベースとなりました。あれからすでに4年ほど経過していますが、情勢は大きく変わりましたね。
その後、2回ほど昇格し、シニアコンサルタントまで上がりました。 (アナリスト→コンサルタント→シニアコンサルタント→マネージャ→・・・偉い人)
その間に、BlackHatとDefconの現地参加や、ある企業のUS本社への出張など貴重な経験を積みつつ、合間に資格を取ったりしていました。
2022年から山登りの頻度が上がっており、最近では完全に仕事<趣味の配分となってしまっていますが。。。
詳しくはかけませんが、キャリアのスタートは良かったと思っているものの、同じ時間でより濃密な経験をしている方々もいますので、歯がゆくもあります。
自動車セキュリティ業界のいま(2024.01)
規格と法規認証
代表的な法規と規格等の関係をまとめると大凡以下のイメージです。
国連法規であるUN-R155も2021年3月に発行されてから随分経過しました。
UN-R155を満たすために参照される、自動車セキュリティのデファクトスタンダード的な規格であるISO/SAE 21434も、今ではかなり普及しているかと思います。
2022-03-31でStatus: Published (60.60)となっており、現在の最新版となります。 ISOのTechnical CommitteesはISO/TC 22/SC 32となっており、関連している活動についても確認することができます。
また、このISO/SAE 21434に従っている=UN-R155に従っていることを確認するため、監査する必要があります。このための規格がISO/PAS 5112:2022になります。これはISO 19011を自動車分野に適用したものとなります。
今後の法規認証の流れ
昨年2022年7月にコネクティッドカー(OTAによるアップデート機能がついている車両)を対象にCS法規が適用されました。
それまでにプロセス認証(CSMS体制の構築)は完了している自動車OEM企業が多いはずです(おそらく。。)。
今後は以下のような各社における対応や、流れが生まれると考えています。
- 2024年1月 非コネクティッドカー(OTAによるアップデートができない車両)、すなわちこれから発売されるほぼ全ての車両に対するCS法規の適用開始
- サイバーセキュリティの要素がまったくない車両は事実上認証取得が不要と思われる
- 2024年7月 コネクティッドカーの継続生産車に対するCS法規適用開始
- 2022年7月に認証取得済みの場合でも再認証が必要
- 海外(非WP29加入国・地域=CSMS認証取得が必須ではない地域)へのCSMSの拡張
- USではNHTSA BP等、各地域の法規への対応も合わせて実施が必要
- 他のセキュリティ関連法規との整合・マージ
- CSMSの内部監査組織の立ち上げ、内部監査の実施
- 当局による3年に一度の監査に向け、内部での監査が求められる
- US等、CSMS認証取得が必須ではない地域での内部監査組織の立ち上げが実質的に求められる
- 2026年5月 非コネクティッドカーの継続生産車に対するCS法規適用開始
- つまり2022年以前の車両でも、CS要素があり継続生産する場合は改めて追加対応等が求められる
2022年時点では急遽立ち上げ、構築したCSMSも、2025年の監査におけるエビデンス提出のため、今年は色々準備することが多くなりそうです。
参考文献
自動車サイバーセキュリティ対策に関する国際標準規格「ISO/SAE 21434」の概要と対応のポイント(株式会社 ヴィッツ)
自動車サプライヤに押し寄せるUN-R155への対応要求と、取りうる対応策(Accenture)
自動車サイバーセキュリティ対策で準拠すべき法規や規格、対策のポイントとは(NEC)
今後のキャリアについて
とりあえず、今できることをキャッチアップしつつ、弊社で3〜5年は修行させていただこうと思っています。
まずは「ペンテスト系」「法規係」「コンサル業務全般」を軸に知見を続けて蓄えていき、その後事業会社のCISOのようなポストを狙うか、起業をするか、、、と画策しています。
もし興味がある方がいれば、ぜひお声がけください。
最後に
趣味も色々経験つみつつ、今年は以下の目標を立てています。
- ペンテストの経験を積む
- OSCPの取得、、、まではいかなくとも勉強と準備する
- 英語を継続的に勉強する
- TOEICを3回以上受験する
- ビズメイツを継続受講する(弊社で受けさせてくれるらしい)
- 情報処理(春・秋)を受験する
- ブログ記事を年間で3つ以上書く(Qiita等プラットフォーム問わず)
今年はBlackHatとDefconをラスベガス現地での参加ができると良いなと思っています。 まず第一に、折角転職したので弊社だからできることをたくさん吸収しつつ、恩返しができたらと考えています。
この記事が誰かの参考になれば幸いです。