【特別編】パナソニック株式会社 製品セキュリティセンター × 情報セキュリティ技術者育成プログラム
企業等インタビューの特別編として、パナソニック株式会社 製品セキュリティセンターの森田氏と本校の情報セキュリティ技術者育成プログラム履修生3名、プログラム担当の小早川教授(本科:電子情報工学コース、専攻科:情報工学コース)との対談を行いました。
パナソニック株式会社 プロフェッショナルビジネスサポート部門
製品セキュリティセンター 検証対策部 セキュリティ診断課
森田 智彦 氏
おしえて!IoTセキュリティ!
学生:都立産技高専の情報セキュリティ技術者育成プログラム履修生、専攻科1年生の林、杉田、小笠原です。本日はよろしくお願いします。
森田氏:製品セキュリティセンター 検証対策部 セキュリティ診断課 の森田です。よろしくお願いします。
SECCONについて
森田氏:ところで、皆さんは今年のSECCONはいかがでしたか。
林:SECCONでは杉田が活躍していました。
林・杉田:このところSECCONの出題傾向が変わりつつあるようで、今回は予選と本選も形式が違っていました。
森田氏:そんな条件のなか、国内5位の成績は素晴らしいですね。学校の中でCTF部のようなものはあるのですか。
小笠原:CTFのクラブや同好会があるわけではなく、情報セキュリティ技術者育成プログラムの中で先生から紹介され、高学年の学生から後輩にも周知し、参加メンバーを募ってチームを構成しています。
林:パナソニックさんの中にもCTFチームがあるのですか。
森田氏:有志のメンバーでチームを作っています。週1、2回、昼ご飯とPCを持ち寄って、ランチミーティング方式でCTF勉強会を開催して、どんどんメンバーを増やしています。最近ではセキュリティ以外の部署の社員も参加しています。SECCONの予選にも、多くのメンバーがオンライン参加していました。2017年、2019年には国内決勝にも出場しています。
林:社内でSECCON以外の活動はありますか。
森田氏:国内のCODE BLUE、海外のBlack Hat、DEFCONにはかなりの人数がリサーチのために参加しています。IoTに関する興味深い発表を聴講することができます。DEFCONにはIoT VILLAGEという、ハードウェア好きのハッカーがIoT実機をさわりながら未知の脆弱性を見つけてポイントを稼いでいく競技会場もあったりして、なかなか刺激的な出張です。
セキュリティ診断課のお仕事について
林:セキュリティ診断課では、どんなお仕事をされているのですか。森田氏:セキュリティ診断課は自社製品の品質評価の一環で、セキュリティ診断を行っています。ハッカーが攻撃に利用するテクニックと同じ手法でセキュリティの脆弱性を見つけ出し、リスクの高いものは開発部門にしっかり修正してもらって、ようやく出荷できます。
小笠原:セキュリティ診断を行う上で、どのようなことに気をつけていらっしゃいますか?
森田氏:セキュリティ診断の仕事は開発部門の人にも味方になってもらえるような仕事の進め方が大事です。そのため開発部門の人にも分かりやすいレポート、再現しやすいスクリプトを提供するよう心がけています。一つの製品にも多様な機能があり広い範囲で診断を行わなければなりません。脆弱性を見逃さないよう、セキュリティ診断の広さと深さの両立は大変ですね。
小笠原:セキュリティ診断の項目はあらかじめ決まっているのでしょうか。
森田氏:機器の機能や使われ方をヒアリングして、どんなテストが必要なのか、おおよそ見当をつけることができます。ただし、実機を操作してみてはじめて分かる、現場レベルの判断も大事にしています。開発部門から「この部分を診断してほしい」というリクエストを受けることもありますが、診断をする際に、開発者が把握していなかった部分に重大な脆弱性が見つかることもありますね。そのため一番リスクの高いところから診断をし、レポートを作成するようにしています。これまでの手順で見つけられないような新たな脆弱性が見つかった場合には、新たに手順を用意してどんどんノウハウを蓄積していきます。
林:製品セキュリティセンターが関わるのは、製品が出来上がった後なのですか。
森田氏:セキュリティ診断は、ある程度実機に近い形で実施する場合が多いです。完成品が出来上がる前に、個別の部品の単体機能だけ(例えばBluetoothのチップの評価だけの評価)で行う場合もあります。ただ、出来上がった後では、脆弱性が見つかってしまっても後戻りが出来ない場合もあります。そこで、リスク分析を行って、どのようなセキュリティ対策が必要か議論することもあります。シフト・レフト(Shift Left)といって、開発のより上流で対策ができるようにしています。
林: IoT関連の脆弱性については、我々は普段触れることが少ないので大変興味深いです。
森田氏:たとえば同じカメラといっても、民生用と業務用では、ハードウェアや通信プロトコルにも差があります。それぞれ別の開発部隊が異なるソースコードをもとに開発していますので、全く異なる脆弱性が出てきますね。
小笠原:開発部隊にはセキュリティ専門の人もいらっしゃるのですか。
森田氏:あくまでも開発が主な業務なので専門家は多くはありません。ただ、製品セキュリティセンターのメンバーだけがセキュリティを理解している状態はよくないので、製品セキュリティセンターの社内教育担当の部署が、開発者に対するセキュリティ教育や人材育成にも取り組んでいます。各開発の現場にもセキュリティのトップ人材を育成し、この人に聞けばセキュリティのことは解決できる、という体制を目指しています。
情報セキュリティ技術者育成プログラム履修生に向けたメッセージ
杉田: 情報セキュリティ技術者育成プログラムの履修生に向けて何かメッセージを頂戴できますか。
製品の安全・安心を守る~パナソニックのセキュリティ診断~
小早川:本日はよろしくお願いします。
森田氏:よろしくお願いします。
サイバーセキュリティと製品セキュリティの違いについて
小早川:学生と製品セキュリティについてお話をいただきましたが、我々、情報セキュリティ技術者育成プログラムの場合はサイバーセキュリティに関する内容が多いです。サイバーセキュリティと製品セキュリティの面白さの違いというのがエンジニア側にはあると思いますが、そのあたりについて森田様はどのようにお考えですか。
森田氏:やはり製品セキュリティはプロダクトがあることです。パナソニックの場合は、製品という物理的なデバイスがありますので、そこが面白味だと思います。ハードウェアのハッキングも仕事の中に含まれます。ソフトウェア単体のセキュリティというよりもハードウェアも含めたセキュリティの診断案件が多いのではないかと思います。案件ごとに今までとは全く違う製品を扱わなければならないので、短期間で多様な製品仕様を理解し、正規のユーザーが利用する場合と攻撃者が悪用する場合と、それぞれのシナリオを考えるところが面白いところですね。
小早川:先ほどのお話で、全く違う製品を扱うと仰いましたが、それを短期間で学習するためのスキルをどのようにして修得されているのでしょうか。
森田氏:ベースの知識やスキルは共通ですが、製品の種類によって独自な部分はセキュリティ診断の業務を走らせながら吸収していくことになりますね。ものづくりが好きな人でなければ対応できないことだと思います。
小早川:製品セキュリティで扱う仕事は、ハードウェア、内部のソフトウェア(のセキュリティ)もあると思いますが、本当に製品の安全性を担保したい、という社員の集合体がセキュリティ診断課ということになるでしょうか。サイバーセキュリティとの違いはハードウェアが含まれるという点でしょうか。
森田氏:そうですね。そこで守備範囲の広さが求められると思います。
小早川:限られた期間で多数の製品を扱うというところで即応性も重要なようですね。パナソニックさんにはありとあらゆる製品がありますが、それらの製品を扱わなければならないと言うのは面白味でもあり、大変な面も多いと思います。皆さん、そこは楽しんで対応されているのですか。
森田氏:そうですね。工場で扱われるシステムの場合には、1週間まるごと工場に出張して診断をしなければならない場合もあります。大変だからこそ、皆、楽しんでやっています。
社員のスキルアップや新人に求める力について
小早川:製品セキュリティセンターとして、社員のスキルをブラッシュアップさせるためどのようなスキームを構築していらっしゃいますか。
森田氏:部署での教育事例を挙げますと、国内外のCTFの大会に参加し、そこで得られたノウハウを部署内の教育コンテンツサーバーでメンバーに共有している同僚もいます。その他にも、作成された過去のレポートの蓄積も大事なノウハウとして活用しています。
小早川:そのような環境に入るためには、新人にどのようなことを求めていらっしゃいますか。
森田氏:技術力はもちろん必要ですが、製品を好きになること、セキュリティ技術の習得が好きであること、新しいことを積極的に学ぶ姿勢、これらの素養は必要ですね。
小早川:教育機関で本格的に情報セキュリティ教育を実施しているところも少ないのが実情です。個人的に学習している学生はいると思いますが、企業が採用する際に、学生にどこまでの技術を求めておられますか。学生時代にある程度、セキュリティの技術を習得した学生なのか、それとも、学生時代はあまりセキュリティの学修をしていなくても学ぶ力を持つ学生の方が良いのか。
森田氏:私は後者(学ぶ力を持つ学生)だと思いますね。
小早川:自主的に勉強会などに出ている学生の方が良いと。
森田氏:そうですね。私自身も、社会人になってから身に着けました。大学で学んだことがそのまま製品セキュリティの仕事に当てはまるわけではないので、そのギャップを埋めるために、会社に入ってからも学び続ける姿勢が大事だと思います。技術的な素養としてはWeb開発だけをやっている人ではなく、広くコンピュータの基礎的な知識があり、かつ、手を動かしたことがある人、コンピュータサイエンスに長けた人が欲しいですね。
小早川: 多くのセキュリティエンジニアの人はそのことについて口を酸っぱく仰いますね。核にコンピュータサイエンスがあり、プラスでセキュリティの技術があること。ただ、セキュリティエンジニアの中にはコンピュータサイエンスからセキュリティに入った人ばかりではないようで、セキュリティが好きなことをきっかけにコンピュータサイエンスに深く入っていった人もいるようです。森田様の場合はどうでしたか。
森田氏:私は後者です。コンピュータサイエンスの知識は後から身に着けました。
小早川:どうしてセキュリティの技術を身に着けようと思ったのですか。
森田氏:セキュリティは進化が早いからこそ、新しい分野がどんどん出てきます。その流れにしっかりと追いついていけばベースが無くても追いつける可能性はあると思ったからです。
小早川:自動化で出来ないことをエンジニアがやらなければならない。そのことに対するブラッシュアップについて、製品セキュリティセンターさんとしてはどのようにお考えですか。
森田氏:ハードウェアだからこそ、手作業でなければ出来ないことは結構多いですが、そんな中でも、物理ボタンをポチポチ押したり、USBメモリを抜き差ししたりというセキュリティ診断に付随する繰り返し作業も自動化していますよ。世の中ではセキュリティを開発のパイプラインに組み込んで自動でチェックするというのが流行りですが、パナソニックの場合は製品の開発部隊によって、やっていることが全く違いますので、そこまでは踏み込めていないのが悩みですね。
小早川:日本のセキュリティを扱うエンジニアとして、日本の教育機関にどのようなことを求めますか。
森田氏:小早川先生の産技高専もそうですが、私は幸い恵まれていて、先進的な取り組みをしている教育機関の話を聞く機会が多いので、良くない事例のことはあまり知らないのですが、理論偏重ではなく手を動かす経験を積ませてあげて欲しいです。産技高専ですとサイバーセキュリティTOKYO for Juniorのように学生自らが構築し、運用するのは学生時代になかなかできる経験ではないと思います。そのような実践する場を学生時代に経験しておくことで、社会人となってから即戦力につながると思います。なかなか学生に実践の場を設けている教育機関はないと思います。
小早川:コミュニティが学生に(NOC:Network Operations Centerを担当させるなど)機会を与えることはあると思いますが、学校単位というのはあまりないかもしれませんね。
森田氏:私の経験でもあるのですが、研究室内で指導教員に言われたことを研究室内だけでやっているというケースがあります。それだけでは得られる経験が少ないと思います。学生や社員を外のコミュニティに出して、そこで得た経験を学校や会社に持ち帰るというのも大事だと思います。
小早川:セキュリティの場合は、技術の進歩が速すぎて外とのコミュニティに入っておかなければ技術が追いつかないという面があるからでしょうか。学校の場合、教員がそのコミュニティの核になっておかなければ学生に情報が入らないということになります。なるべくその機能が属人化しないように、本校ではパナソニックさんにもご協力いただき、産学連携協定を締結しており、本校に来ていただいてご講演をいただく機会をいただいています。
森田氏:社員にとっても教育機関とのそのような機会は非常に有効だと考えます。
小早川:本校で開催したTMCIT×大和セキュリティ勉強会 in 江戸 忍者チャレンジにもお越しいただきましたが、あの勉強会のネットワークの構築も情報セキュリティ技術者育成プログラムの学生が担当しています。
森田氏:とても良い取り組みですね。良い仕組みが回っていると感じます。
小早川:学生同士がとてもうまく機能しているのと、セキュリティ業界の企業のエンジニアは、我々をサポートしてくださるという印象を持っています。学生に機会を与えてくれるのは大変ありがたいですし、学生も企業の方々からいただいた機会に応えているところが良かったのだと思います。企業の方々も彼らの成長を見て下さっていて、今回のSECCON 5位受賞のことも「よく伸びましたね」とお褒めいただきました。その言葉が非常に嬉しかったです。
本校に足りないことは・・
小早川:本校にはまだ足りないことはまだたくさんあると思っていますが、何かありますか。
森田氏:何か課題として考えていらっしゃることはありますか。
小早川:たくさんあると思っています。先ほどの属人化というお話もありましたが、まず、外とのつながりが進まないことです。次にコンテンツの再構築をどのように進めるのかが問題です。具体的には、先ほどのお話で短期間に新しい製品が発表されるとありましたが、教育機関のスパンは急激に進めることはできないという問題があります。最も大きな問題としては、情報セキュリティは伸びる人とそうではない人の差が大きいということです。サイバーセキュリティTOKYO for Junior も楽しみながら動く学生は伸びますが、業務のように取り組む学生は伸びないという悩みがあります。
森田氏:2-6-2の上位2割の人が積極的で生産性が高い、という話ですね。
小早川:情報セキュリティ技術者育成プログラムが目指すのは上2割、もしくはそこに近い人。自分で継続的にかつ自主的に学習できる人でしょうか。
森田氏:ある程度の自由度があり、チャンスがありそこで成功体験が積み上げることが出来れば、自主的に学び続けられるのではないかと思いますね。
小早川:道筋をつけて一つずつ教えていくこれまでの教育とは違い、社会がサポートをしてくれる環境を整え、そこに遊び場(自由に学習できる環境)を造る。そこで必要だと思うのは、企業の方々から学校へのサポートがあることは学生たちにとって響くと思います。
森田氏:そうですね。できる限り協力したいと思います。(遊び場で)遊ばない人もまだ自分の興味のあるものに出会っていないだけかもしれません。
小早川:パナソニックさんのような製品という身近なものは、セキュリティを学習する学生にとっては身近な入口になると感じています。ただ、ハードウェアに興味を持つ学生がなかなかいないので、IoTという言葉が広がってIoTセキュリティが出てきた場合に、パナソニックさんと連携し、学生を育てていきたいと思いますので、これからもよろしくお願いします。
メーカーでセキュリティを目指す学生に向けたメッセージ
小早川:メーカーでセキュリティを目指す学生に向けてメッセージをお願いします。森田氏:ITベンダーとセキュリティベンダー以外にも活躍できる場があるのだということを伝えたいです。セキュリティベンダーはセキュリティ製品のお客様対応が多くて、本当にやりたい仕事(例えばセキュリティのリサーチなど)をする機会がなかなか得られないという話を聞いたことがあります。ユーザー企業の中にもセキュリティを扱う仕事があるのだということを理解してもらい、自分が働きやすい場を探せば、自分にぴったりと合う仕事が見つかるのではないかと思います。
小早川:製品セキュリティを扱う企業はまだまだ少ないうえに、採用人数も少ないですね。
森田氏:メーカーの中でのセキュリティの仕事は、外の学生からは見えにくく、メーカーのアピール不足というところもあると思います。メーカーの中の人が外に出てきて企業の枠を超えて協力しあうことで、それぞれの製品セキュリティレベルを上げて、最後は製品の魅力で競争ができるようになれば良いと思います。メーカーでは各開発の部門にもセキュリティに長けた人が求められています。セキュリティの仕事は、セキュリティ診断だけではないので、そのような視点でチャレンジしても良いと思います。
小早川:これからも日本の安全・安心を担ってもらう学生を共に育てていきたいと思いますので、これからもよろしくお願いします。
森田氏:こちらこそよろしくお願いします。