IoT・自動車セキュリティ専門コンサル｜NDIASの業務内容など徹底インタビュー

お気に入りに追加

自動車領域に特化したセキュリティ専門企業である株式会社NDIASの木内 雄章 社長・エキスパート セキュリティコンサルタント 上松 亮介様に、NDIASで働く醍醐味・業務内容・キャリアパスなどを詳しく伺いました。
NRIセキュアテクノロジーズとデンソーの共同出資で設立されたNDIASを徹底的に深堀りします。

昨今、海外の新しい法規制対応などのグローバルガバナンス、SDV・EV・自動運転対応などの先端的なセキュリティ知見が求められている自動車セキュリティ業界。IoTセキュリティの先頭を走る自動車業界で起きている新たなトレンドから、自動車セキュリティの業務の奥深さをこのインタビュー記事を通してぜひ知っていただければと思います。

コトラに登録して詳細を聞く＞

業務・業界・組織について

NDIASのビジネス、グループ内での立ち位置

コトラ中川：
まず初めに、NDIASの事業の全体感、グループ内での立ち位置について教えて下さい。

木内様：
NDIASは大手自動車部品サプライヤーであるデンソーと、野村総合研究所（以下：「NRI」）グループの情報セキュリティ専門会社であるNRIセキュアテクノロジーズの出資で作られた、自動車セキュリティに高い専門性を持つジョイントベンチャーです。
取引先も様々で、特定の完成車メーカーのグループに限定せず、幅広いクライアント企業をご支援しているのも特徴です。人数はまだ20名規模ですが、それぞれが頼もしい活躍をしてくれていますね。
またNRI本体で採用→NDIASに出向という形を取るため、人事制度がNRIと共通することから、大変充実した待遇で働くことができる点も特徴の一つです。

コトラ中川：
エージェントの目から見ても、IoTセキュリティコンサルティング界隈の中で広く比較しても、特に優れた待遇・人事制度をお持ちだと感じております。
インタビュー記事ではもちろん詳しく書けないですが（笑）、気になる方はぜひコトラへお問い合わせいただければと思います。

業務内容・プロジェクトの詳細

コトラ中川：
具体的にどのようなプロジェクトがあるのか、また最近のトレンドについてお聞かせください。

上松様：
NDIASには大きく分けて四つのサービスカテゴリがあります。

特に最近では、UN-R155（国連が定めた車両に関するサイバーセキュリティ法規）が制定・施行された影響で、リスクアセスメントのニーズが非常に多くなっています。
また、NDIAS設立当初から多くサービスを提供している、ペネトレーションテストの案件も引き続き多いですね。実際に手を動かして自動車をハッキングするもので、技術者の集まりである我々NDIASらしいプロジェクトと言えます。

最近のトレンドとしては、さらに上のレベルの引き合いをいただくことも増えてきました。
業界内でも先行している完成車メーカーだと、規制対応も含めて上流工程の整備もおおよそ完了しているので、現在（2024年11月）だと運用面の強化、いわゆるPSIRT（Product Security Incident Response Team。製品側固有のSIRT体制のこと）の拡充などのご依頼も多いです。
加えて、次世代の車両開発の重要なキーワードであるSDV（Software Defined Vehicle｜ソフトウェアを中心として開発された自動車をさす。一つの要素として自動車の販売後も機能追加や機能改善により自動車の価値を維持・向上できる）関連の取り組みも増えており、SDVに関するセキュリティ対応支援も増加しています。

コトラ中川：
提供サービスの内容について深堀りさせてください。
私がエージェントとしてお話する中で、とあるクライアント企業側の方が「大手の会社にアセスメントを依頼したが、形式的なアウトプットが出てくるのみで実用性に乏しかった」と言っていました。
アセスメントのようなサービスは大手コンサル会社を含めて色々な企業が提供しているかと思いますが、それらの企業とNDIASとの違いは何でしょうか？

上松様：
まさに我々がクライアント企業から評価されている点は、技術的な側面であると考えています。
実際にECU(Electric Control Unit：電子制御ユニット）やその周辺機器を扱ったプロジェクトを数多く経験しているため、具体的な実装技術や攻撃者視点をアセスメント活動に盛り込むことができます。
これらのノウハウを持っていることがNDIASの一番の強みになります。
形式的なアセスメントで終わることなく、もう一歩踏み込んだ成果を提供できるのが我々の売りですね。

コトラ中川：
私も前職は通信系の企業に在籍しており、ATMの実機を触った経験がありますが、やはり目の前の実物があるかどうかには大きな違いがありますよね。

上松様：
そうですね。メンバーの一人に大手コンサルから転職してきた方がいますが、実際に手を動かすことができてすごく楽しいと言っていました。

コトラ中川：
その方は、元々エンジニアとしてのご経験があったのでしょうか？

上松様：
いえ、新卒で大手コンサルに入社されているので、エンジニアとしての実務経験は無いと思います。
ただコンサルティング業務だけだとどうしても技術的なイメージが湧かないということで、もっと自ら手を動かした業務を経験したいという思いから、NDIASに来てくれました。

コトラ中川：
素晴らしいですね。そういう方々を我々も積極的に支援していきたいです。

コトラに登録して詳細を聞く＞

自動車セキュリティの最新状況

コトラ中川：
では次に、PSIRTの話を具体的にお伺いしたいと思います。
他業界でも数年前からPSIRTが注目され始めていますが、自動車業界のPSIRTの現状について教えて下さい。

上松様：
UN-R155では自動車の発売後も継続した脆弱性情報の監視・対応が求められています。
そのため各社、運用プロセスの中に仕組みを構築して、いわゆるPSIRT活動をすでに開始しています。
特に先行してセキュリティ対応を進めてきた大手企業ほど運用が進んでいますが、一方で「新しい脆弱性や脅威が発見された際に、それが本当に自社のプロダクトに影響を及ぼすものかどうかが難しすぎて判断できない」という悩みもあるようです。
我々がそういったニーズに対して、セキュリティの専門会社として脆弱性・脅威そのものの調査・分析、および影響度の判断までをご支援しているケースも多くあります。
当たり前ですが、我々がセキュリティの専門技術に通じているからこそのご依頼かと思います。

コトラ中川：
SDVについても教えて下さい。私自身、もともと機械系の学部にいたこともあるため、「自動車がソフトウェアドリブンで設計される」という概念には革新的なものを感じます。にわかに信じられないとも言えますが（笑）。
SDVの浸透などについて、現在どういった状況ですか？

上松様：
そうですね、現在は第一弾の転換期といったところでしょうか。まだまだこれからという状況ではあります。
まず、自動車を構成する部品であるECUとネットワークの構成を指す電子プラットフォームが進化しています。
ソフトウェアの比重を高めるため、従来複数ECUで構成されていたものを統合して高性能な統合制御ユニットにより制御を行う形に進化しています。
例えば最近の新しい車だと、カーナビとメーターが一体となったようなものが出てきています。
この統合制御ユニットでは一つのハードウェア上でカーナビとメーターの機能を実現するため、仮想化技術が採用されています。ハードウェアを意識することなくソフトウェアで柔軟に機能を実現していく形に変わってきています。

また最近の自動車では購入後もソフトウェア更新機能により随時アップデートされていく車が一般的になりつつあります。ハードが同じでもソフトウェアをアップデートすることで、新しい機能を追加して継続的にユーザー体験を高めていくようなビジネスモデルも定着していくと思います。
すでにリリースされている製品でも、月額数百円の課金で自分のスマホを使って自分の車の鍵が開けられるデジタルキーが出てきていたり、追加課金によって自動運転機能をオンにできるようなサービスが提供されたりしています。
この先の未来では、自動車メーカーが自前で作ったものだけでなく、第三者が作るアプリケーションがどんどん車に搭載されて、ユーザーがいろんな機能を自由に試せるという時代を目指しているところかと思います。

コトラ中川：
自動車業界はすごいところまで来ているのですね。

上松様：
はい、そのために重要な車載APIを標準化しようという動きがあります。車載APIの標準化は関係省庁や各業界団体にて協議が進められています。
将来的にはAPIを標準化して様々な事業者が参入しやすくすることで、SDVの時代でも日本がグローバルで勝てるように官民一体となって押し進めているような状況です。
当然ながら、その中でセキュリティもさらに重要になります。

コトラ中川：
国として後押ししているんですね。他業界の事例で言えば、例えばテレビのリモコンに色んな動画サービスのボタンがついたりしていますし、テレビやスマホのように、自動車自体があらゆるサービスのプラットフォームになっていくかもしれないですね。

木内様：
そうなれば、より面白いと思います。そうなれば付帯サービスの方で稼げるようになるので、自動車の本体価格が下がるような未来も来るかもしれないですね。
自動車業界は、本当に大きな可能性を秘めているんですよ。

コトラに登録して詳細を聞く＞

他社と比べたNDIASの強み

コトラ中川：
Big4などの大手コンサルティングファームなども含めて、他社との違いについても教えてください。

上松様：
我々の組織は、業務・チームが縦割りになっていません。
ある程度サービスごとにゆるやかなライン分けはあるものの、例えば「コンサルテーションだけを提供しています」といったメンバーはほぼいません。
リスクアセスメントやペネトレーションテストを実施し、自分で手を動かしながらコンサルテーションも行うという業務スタイルです。そのため、個々のメンバーが攻撃者視点や実装技術の知見を身につけながらコンサルテーションを行うことができ、技術に強いメンバーがたくさん活躍しています。

コトラ中川：
エージェントの視点から見ても、最近セキュリティの業界再編が起きている気がします。
先端技術に特化したサイバーセキュリティの組織、あるいは経営層との折衝を中心とした上流のセキュリティアジェンダを捌くガバナンス組織の両方で求人が増えています。
ただ、これまでだと後者のガバナンスの求人だと技術に明るい必要は無かったのですが、最近だと「技術に強い人を経営の近くに置きたい」というニーズも強くなってきており、技術知見があることが色々な組織へのパスポートになっているような印象もあります。

木内様：
経営層からのサイバーセキュリティに対する危機感も高まってきていますからね。
技術に強い人材になるということは、キャリアパスを広げる上で大変良いことだと思っています。

メンバーのバックグラウンド

コトラ中川：
どのようなバックグラウンドの方が多いのでしょうか？

上松様：
本当に色々な方と一緒に働いています。
まず会社自体がジョイントベンチャーであるため、NRI籍・デンソー籍それぞれの出向者が在籍しています。
デンソー籍の出向者が全体の1/4程度、残りがNRI籍の出向者になります。新卒入社の方もいますが、全体としてはNRI籍の中途入社の方々が一番多いですね。
中途入社の方々のバックグラウンドも多様で、自動車関連の開発業務経験を持っているメンバーもいれば、ITシステム開発、通信事業者、ITコンサル、ITセキュリティ、ハードウェア開発など、個々の経験は様々です。

コトラ中川：
こうした「ごった煮感」が良いと感じる方にとっては、非常に魅力的な環境ですね。

上松様：
まさにそのとおりです。NRIに新卒入社してから出向しているメンバーも様々な部署から来ているため、多様な経験を持った人が集まっています。
社長の木内さん自身も、以前はRedTeams事業やインシデント対応、マネージドサービスの構築などの幅広い経験を持っています。

コトラに登録して詳細を聞く＞

ゲストについて

木内様の経歴

コトラ中川：
木内さん、これまでのご経験などを教えてください。

木内様：
私は学生時代に機械工学を専攻しており、当時インターネットがどんどん発展していく様を目の当たりにして、セキュリティに興味を持ちました。そこから野村総合研究所に入社して以来、約20年間セキュリティ一筋で活動しています。
最初はWebや基幹システムのハッキング・類似攻撃のアセスメント業務から始めたのですが、その内に実際にWebサーバの侵害や不正送金事案といったインシデントを起こしたお客様のためにフォレンジック技術を使った調査を提供するようになりました。
そうした活動の中で、インシデント全体のコンサルテーションやクロージングまで支援していかなければクライアント企業に対する根本的なご支援ができないと考えるようになり、事後対応全体の対応にも取り組みました。
次第に、フォレンジック調査の前段階でハードディスクを回収すること自体が非常に大変であることに加え、エビデンスの不足やデータ消去などの課題が出てきました。リアルタイムでデータ・エビデンスを集める仕組みが必要と感じたため、EDR（Endpoint Detection and Response。各端末でのインシデント発生後の検知・特定・対処のための監視ツール）というイベントレコーダーのようなものをパソコンに仕込んで常に遠隔で監視し対処まで対応するサービスを作ったりしました。
それが成功して他のMSSサービスも開発することになり、マネージドサービス全般の開発を管掌していました。
これらの経験を経て、2024年6月からNDIASの代表を務めています。

コトラ中川：
セキュリティ業界の中で、常に先端を走ってこられたようなご経歴ですね。
サイバーセキュリティの領域で本当に多くのご経験をお持ちだと思うのですが、そんな木内さんの目から見て、自動車セキュリティ業界はどのように映るのかを教えて下さい。

木内様：
In-Car（自動車内）は、普通のITエンジニアだとあまり触れる機会が無い領域ですし私の経歴でも同じでした。専門性は高いですがその分非常に面白いとも感じます。
一方、Out-Car（主に自動車とつながるサーバやスマートフォンなど）は従来的なITの知見を活かせる部分も多く、これからもどんどん成長していく領域ですので、これから活躍する場がもっと増えていくと思っています。

上松様の経歴

コトラ中川：
上松さんも、ご経歴を伺えますか。

上松様：
元々、無線通信機器の開発メーカーで3年ほど設計・実装業務を担当していました。その後、通信事業者で4年ほど開発や評価業務に携わってきました。
そんな中、IoTが注目され始めた頃にNRIセキュアテクノロジーズのキャリアセミナーに参加し、面白そうだと感じて転職しました。最初は自動車に限らずIoT業務全般を担当していました。
当時はIoTセキュリティが注目され始めたばかりで、新しいことがたくさんできる状況でした。
無線通信の経験を活かして幅広いセキュリティプロジェクトに携わることができ、サービス化や本の執筆もさせていただきました。
NDIASが設立され、私自身が移籍してからは自動車セキュリティに特化し、コンサルテーションやペネトレーションテスト等をメインに行ってきました。

コトラ中川：
通信・無線領域などIoT全般の経験を経てNDIASに入られたのですね。
木内さんへのご質問と同じことを伺えればと思うのですが、他のIoT領域と比べて自動車業界はどのように見えていますか？

上松様：
自動車の開発規模は他のIoT機器に比べて非常に大きいです。自動車には非常に多くのECUが搭載されており、実現している機能も多岐にわたります。
そのため自動車に搭載される技術も幅広いです。例えば、自動車が外部と通信する技術だけを見ても、セルラー、Wi-Fi、Bluetooth、USB、NFCなど様々です。触れられる技術の幅では他の領域よりも大きいと感じています。
NDIASでは多くの自動車関連メーカーと関わりがあり、セキュリティという側面から各社の仕組みや技術の一端に触れることができるので本当に面白い環境だと思います。

コトラに登録して詳細を聞く＞

NDIASのビジネスの変遷、担当プロジェクトについて

コトラ中川：
参画後のNDIASのビジネスの変遷、担当されたプロジェクトについてお聞かせください。

上松様：
我々NDIASは、元々はECUに対するペネトレーションテストの需要から生まれた会社でした。
しかし、法規制が整備されていく中で「単に実機の評価をするだけでなく、設計・開発の段階からセキュアな製品をちゃんと作れるようにしよう」ということで、開発プロセスの構築支援のコンサルテーションプロジェクトが増えてきて、現在（2024年11月）では運用面までも一気通貫で支援するような案件も多く取り扱っています。
私自身でも、これまでに100以上のECUに対するペネトレーションテストを実施してきており、おそらく日本のなかでもトップクラスの実績があると自負しています。
また、規制に関連するプロセス構築支援やリスクアセスメント、日本の自動車産業のセキュリティ技術の標準化支援、各国の法規動向調査といった業務にも携わってきました。
最近では、中国の新しい法規制の調査や対応に関する支援もしており、会社の成長とともに色々なことを担当させていただいています。

自動車セキュリティ領域の醍醐味

コトラ中川：
自動車セキュリティ領域ならではの魅力についてお伺いできますでしょうか。

木内様：
自動車業界は100年に一度と言われる大変革が起きています。ハードで制御していた部分の多くをソフトに置き換えようとしていて、脆弱性とセキュリティの観点でも指数関数的にニーズが増えています。
一方で、自動車業界はセキュリティの専門人材が不足している状況が続いており、我々のような企業はかなり重宝されます。
希少人材としてピュアに活躍を期待していただけるのは、意外と珍しいことだと思っています。

コトラ中川：
NDIASの求人票を見ると、自動車以外のメーカーでの開発エンジニアの方もメインの採用ターゲットにされているかと思います。まさに上松さんのような方ですね。
ただこういった方にとっては、自動車のセキュリティ領域に尖ってキャリアを作るというのはリスクに見えることもあるようですが、この点についてはどうお考えですか？

上松様：
仰るとおりNDIASは自動車業界に特化しているため、幅が狭いと感じる方も多いと思います。
実際、私も最初はそう思っていたため、NDIAS設立当初はあえてNDIASを選んでいませんでした（笑）。

しかし、自動車以外のIoT領域を選択したからと言って、その人が多様な経験が得られるかと言うと、実は必ずしもそうとは言えません。
領域によっては、そもそも製品が簡素で技術的にも最新ではなく、エンジニアとして得られるものが少ないというケースも多いです。
一方で、自動車業界は多様な技術が使われているため、一人のエンジニアとして得られるものは非常に多く、新しい技術に触れながら仕事ができるのが一番の魅力だと思っています。

木内様：
ビジネスの観点から見ても同じですね。自動車メーカーで新規開発が起こる限り、我々の仕事が尽きることも無いと考えています。多少の波はあるものの、基本的には増えていく一方ですね。
自動車はそもそも開発に投下される物量や予算が他のIoT機器と比べて桁違いで、その分セキュリティにも多くの資金を投入でき、我々もより多くの仕事をいただけるということです。

コトラ中川：
非常に有益な情報、ありがとうございます。サイバーセキュリティ全般で見た場合に「この業界で経験を積むと、それ以外の領域にも広く知見を転用できる」という観点では、金融業界も同じようなところがあると思っています。
金融機関は当局からの規制対象で高いレベルのセキュリティが求められるという点と、そもそもITに割く予算が極めて大きいため、セキュリティエンジニアとして高いレベルの経験が積めるというものですね。
広くIoT全般で見たときに、自動車業界で経験を積んでいれば他業界にも潰しが効くというのは、大変重要な情報だと感じました。

カルチャー／働き方について

コトラ中川：
カルチャーや働き方についてお伺いできますでしょうか。

木内様：
まずお伝えしたいのが、「NDIASは技術者の楽園を目指している」ということです。システムやルールなどは先進的かつシンプルなものだけを採用しており、業務に集中できる環境を整えています。
また、領域の異なる専門家が話し合い、アドバイスをし合いながら、質の高い仕事を追求する文化が根付いています。特に品質へのこだわりが強く、みんながそれぞれの領域で真剣に意見を言うからこそ、自然とブラッシュアップされていくのだと感じています。
テレワークや子育て支援についても柔軟に対応しており、各自の事情に配慮した運用がされています。

上松様：
私はNDIASで4社目ですが、これまでのキャリアの中で最も自由度が高く、働きやすい環境と感じています。
特に個々がやりたいことに対する障壁が少ない環境だと思います。例えば新しいことをやりたい時にツールやデバイスの購入が必要となっても割とすぐ購入できるような仕組みがあります。
また、それを後押しする風土があるとも感じています。業務以外でもCTF（セキュリティ業界で有名なハッキングコンテスト）の勉強会や大会にも積極的に参加しており、非常に楽しいです。少し前に入社したメンバーからも、「CTFを一緒にやれる人が身近にいて嬉しい」という声を聞いています。

コトラ中川：
技術を追求したい方にとっては理想的な環境ですね。
上下の関係や、「この人が言うから従う」という雰囲気もないのですね。
確かに、上松さんも木内社長のことを「木内さん」って呼んでいますよね。

木内様：
肩書きで呼ぶ人はほぼいないですね（笑）。

コトラ中川：
インタビュー記事にどれくらい反映されているか分からないのですが、実際このインタビュー自体も非常に柔らかい空気で進行しています。まさに、柔らかい社風という感じですね。
また、テレワークや子育てにもかなり柔軟に対応されているのですね。

木内様：
場合によっては出社する必要もあるのですが、基本的には3割程度の出社で対応しています。
出社しなければできない作業もあるため、現場とテレワークをうまく使い分けている感じですね。

コトラに登録して詳細を聞く＞

人材ニーズについて

どのような方にジョインしてもらいたいか

コトラ中川：
では、どのような方にジョインしてもらいたいか、ハードスキル・ソフトスキル両面についてお伺いできますでしょうか？

上松様：
まず、自動車セキュリティそのものの業務経験がある方は大歓迎です。
一方で、多様なバックグラウンドを持つメンバーを増やしていきたいとも考えているため、自動車セキュリティの業務経験が必須というわけではありません。
デバイスの開発経験のある方、ITシステム開発・実装スキルのある方、何かしらのITセキュリティスキルをお持ちの方など、広く募集しています。
今後SDV化が進み、ITの技術がさらに車に取り入れられることも考えられるため、一般的なIT・セキュリティの経験者も大歓迎です。

マインド面では、NDIASはまだ規模が小さく、トップダウンのスタイルではないため、自分で考えて行動できる方がNDIASの文化によく馴染むと思います。
個々のスキルや意思を尊重して活かしていく文化があるため、受身ではなく、自ら行動していきたいという意欲のある方に是非来ていただきたいです。

入社したあとのキャッチアップなどについて

コトラ中川：
入社後の教育やキャッチアップ体制についてはいかがでしょうか？

上松様：
我々の提供サービスの中に教育・研修領域のものがありますので、キャッチアップのための資産・情報は豊富に取り揃えています。
基本的には、それらを用いて基礎から実践までを学んでいただきます。その後は各々のバックグラウンドを活かしたプロジェクトに参加していただくことになりますが、OJTでキャッチアップしていくスタイルになりますので、最初から「いきなり一人で」ということはありません。
キャッチアップが早い人でも数ヶ月、大体の方は半年〜一年ほど時間をかけて徐々に慣れた上で、個別のプロジェクトを担当していただく形になります。

コトラ中川：
「コンサル」と聞くと、いきなりプロジェクトに参画して「やりながら覚えてね」というのが一般的かと思っていましたが、きちんと育成期間を設けられているのですね。

上松様：
もちろんOJTが一番良いかもしれませんが、何も知らない状態でプロジェクトに投入されても厳しいと思いますので、最初はベースラインとして共通言語を話せるようなところから学んでいただいています。

コトラに登録して詳細を聞く＞

転職希望者へのメッセージ

コトラ中川：
最後に転職希望者へのメッセージをお願いできますでしょうか。

木内様：
我々の会社は、大企業のグループに属しながらもベンチャーのようなカルチャーも持ち合わせており、その両方の良さを兼ね備えている会社かと思います。
また、今後SDVなどのやりがいのある仕事は増えていく傾向にあり、NDIASを自動車業界にとって必要不可欠な存在にしていきたいと思っていますので、この環境で一緒に挑戦してみたいと思った方は是非ご応募をお待ちしております。

コトラ中川：
個人的に、このお話もすごく響いています。セキュリティで大きな予算のつくレベルの高いプロジェクトに携わるには、基本的に大手の会社に入らないといけないことが多いかと思っています。ただそうなると、大手企業なりの社内都合などで技術以外のことを気にしないといけないケースも多く、技術的な面白さ／会社規模・安定性はトレードオフの関係にあると考えていました。
NDIASには、その両方があるということですね。

上松様：
はい、我々自体小規模な会社でありながら、日本の多くの自動車関連企業と取引があるのは非常に珍しいことで、そんな会社は他にないと思います。NRIとデンソーという両社の名前を背負っていることの強みです。
主体的に働ける人にとっては、良いとこ取りの本当に良い会社だと思っています。
まずはぜひ気軽にご応募をいただければと思います。

求人のご案内

登壇者紹介

コトラに登録して詳細を聞く＞