ハッカーが技術を育てる米国

──技術者としては何を心掛けたらよいのでしょうか。

杉山氏:今、先進国の自動車業界がセキュリティー対策の指針を作成中です。その指針を正しく理解し、製品へ落とし込むための考え方を身に付ける必要があります。指針は抽象的に表現されています。それを具体的な車両やシステムの開発プロセスに落とし込むときに、しかるべきアプローチが必要となります。その考え方を技術者は習得しなければなりません。

 現在、各国でさまざまな指針が作成されています。でも、セキュリティー対策の基本的な考え方はどれも同じです。その点をしっかりと理解し、固めておく必要があります。

──自動車のセキュリティー対策の指針の現状を教えてください。

杉山氏:各国の自動車業界がどのような方針でセキュリティー対策を進めていくかがだいぶ見えてきました。特に、米国の動きが顕著です。米国では、2015年7月に「Security and Privacy in Your Car Act(通称:SPY Car法案)」が提出されました。それに伴い、米自動車技術会(SAE)がガイドラインを出し、米国運輸省道路交通安全局(NHTSA)がセキュリティー対策のベストプラクティス(指針)を発表しています。NHTSAは、セキュリティー対策の不足により、安全性の問題があると判断された場合、リコールをかける権限を行使する方針としています。これにより、自動車メーカーもセキュリティー対策を放っておくことはできなくなりました。

 さらに欧州でもセキュリティー対策の方針が検討されており、国際規格化に向けて動いています。規格化については伝統的に欧州が強いのですが、この自動車のセキュリティーについては米国も口出ししています。米国はセキュリティーに関する技術開発のスピードが速いため、発言力が大きいのだと思います。

 実は、米国ではハッカーのカンファレンスである「DEF CON(デフコン)」が開催されています。企業のセキュリティーの脆弱性を発見し、情報を提供して改善活動を行う「ホワイトハッカー」と呼ばれる人たち向けの祭典です。ホワイトハッカーは、悪質なハッカーが悪事を働くことを防ぐ人たちです。彼らを敵視せず、むしろ味方につけようとする企業も出てきました。「バグバウンティー」という脆弱性発見報奨金制度を設け、セキュリティーシステムの強化に利用する企業も米国にはあるのです。ハッカーが活発に活動できるこうした環境が、米国のセキュリティー技術の進化を促しています。

 例えば、セキュリティー対策の中にペネトレーションテスト(侵入テスト)があります。システムにハッキングして侵入するもので、製品などの出荷前に行って脆弱性を調べます。これを行うには、ホワイトハッカーが必要です。「ペネトレーションテストの専門家」であるという肩書きを持つ人もいれば、研究機関や企業のお抱えのホワイトハッカーもいるほどです。