デンソーのアジャイル開発、次の一手はセキュリティ人材育成

株式会社デンソー

モビリティエレクトロニクス事業グループ デジタルイノベーション室

SRE課 担当係長

佐藤義永氏

IoT、コネクテッドカーなど新たなテクノロジーの台頭により、「100年に一度の変革期」と言われる自動車業界。世界の主要自動車メーカーに部品を提供するデンソーは、2017年4月、新横浜に「デジタルイノベーション室」を設置した。ウォーターフォールのアプローチが主流だった製造業においてアジャイル開発を導入し、ソフトウェアによって新たな価値を提供しようという狙いだ。

佐藤義永氏は、デジタルイノベーション室設立前夜に入社した3人目の社員だ。大学でスーパーコンピューターを研究し、前職ではインメモリデータベースを作ったり、 証券会社のシステムにディープラーニングを実装して株価予測をするといった経験も積んできた。

デンソーが“変わった人材”を募集していると知ったのは、佐藤氏がちょうどキャリアの岐路に立っていたときだった。興味を惹かれるがまま室長の成迫剛志氏と会い、意気投合した。すでに他社からの内定も出ていたが、気づけばデンソーに入社していた。当時、新横浜のオフィスにはまだデスクもなく、段ボール箱の上にPCを置いて作業をするような環境にワクワクしたという。

そんなデジタルイノベーション室も、今やメンバーは70名にまで増えている。当初の思惑通り内製化は進み、Webサービスをリリースすることもできた。しかし、今後さらなるスピード感で開発を進めていくことを考えたとき、大きな課題にぶつかった。それが、セキュリティの知見を持つ人材の育成だ。

「モノ売り」から「サービス提供」への転換で、セキュリティの常識も変わる

――「モノからコトへ」とはよく言われますが、それによって開発者側のセキュリティの考え方や守備範囲はどう変わるのでしょうか?

佐藤氏 デンソーはこれまで、部品や車載機器を開発し、自動車メーカー各社に提供してきました。しかし、今は「納品して終わり」ではありません。車載機器もそれ単体ではなく、クラウドと連携してデータを吸い上げ、分析し、ユーザー体験を改善につなげていくというプロセスが加わってきます。

つまり、これまでの車載機器の品質保証と、クラウドやWebの技術を使ったサービスの品質保証とでは、監視すべき対象や必要な知見が変わってくるんです。大前提としてセキュリティホールがあってはいけないので、サービス開発の初期段階からセキュリティをどうしていくか議論しています。

――セキュリティホールを最小限にするために、どんな工夫をされていますか?

佐藤氏 「できるところから確実にやっていこう」ということで、AWSはフルマネージドで使っています。自分で設定することで脆弱性が生まれやすくなることもあると思うんですよね。インフラ側である程度セキュリティを担保しながら、アプリケーションを作っていくというスタイルを採用しています。

新横浜アジャイル開発センター の様子

アジャイル開発にセキュリティ人材が不可欠な理由

――なぜ、社内にセキュリティ人材が必要なのでしょうか?

佐藤氏 開発の内製化が進む一方、セキュリティに関しては、まだまだ外部の専門家を頼っているのが実情です。例えば、脆弱性診断と、その結果に基づく対応の優先順位付けなどは、パートナー企業の力を借りています。

外部の専門家にお願いすること自体は悪いことではありませんが、理想は、開発した本人が、各々セキュリティも担保できるようになることです。外部の専門家に都度相談していては、やはりスピードが出せないんですよね。そのため、社内でセキュリティもできる人材を育成し、専門家と対等にコミュニケーションをとりながら進めていける体制にしたいと考えています。

――アジャイル開発におけるセキュリティの難しさって何でしょうか?

佐藤氏 それだけで一時間しゃべってしまいそうなので一つだけ紹介すると、セキュリティを高めようとすればするほど、当然、外部からはアクセスできない環境で開発するなど制限をかけますよね。そのため、外部のパートナーが状況を確認したいとなれば、いちいち現場に来てもらわないといけない。外部からアクセスできるように一つIPを解放すると、当然セキュリティは弱まるし、その分のサポート工数もとられてしまう。そこをどうやって折り合いを付けていくかですね。

セキュリティが一日、二日の研修で身に付くとは思えない

――なぜ、Armorisのトレーニングを受けようと思ったのでしょうか?

佐藤氏 私はこれまでセキュリティを専門にしたことはなく、Webアプリ開発やインフラ運用で必要なセキュリティ知識しか持ち合わせていませんでした。昨年4月にSREチームを立ち上げたタイミングで、良い機会だと思って脆弱性診断の講座を受けてみて、その後も、外部の勉強会に参加したりして地道に勉強を続けていました。

実践的なトレーニングはずっとやってみたいと思っていたのですが、高価でハードルが高い。それに、これまでに受けた研修を振り返ると、一日や二日参加しただけでどれだけのことが身に付くのか疑問に思っていました。そんなとき同僚から、鎌田敬介さん(Armoris CTO)が講師を務めるサイバー攻撃対応机上演習に参加したという話を聞いたんです。

Armorisのトレーニングは、短期プログラムと、年間通して好きなときに何度でも通える長期プログラムが用意されています。また、自身のスキルアップだけではなく、学びを自組織に持ち帰って講師役になれるところまでをコンセプトとしていました。「社内でセキュリティもできる人材を育成していこう」という私たちの考えと一致したんです。

――Armorisのトレーニングを受けてみての感想はいかがでしょうか?

佐藤氏 Armorisのトレーニングは、手取り足取りではなく、課題を与えられて、「まずは自分の力でやってみてね」というスタイルです。良い意味で突き放されます。でも、ギークな高校生チューターの三人や、国内外で経験を積んだ講師たちがそばにいて、質問したいときに質問できる体制が整っています。

実機を触って自ら環境を構築し、攻撃し、調査する「Armorisのスタイル」

――今はどれくらいのペースで通っているのですか?

佐藤氏 業務の関係で日にちが空いてしまうこともありますが、基本的には週一ペースで通っています。午前中は出社して、午後からArmorisに移動してトレーニングというタイムスケジュールですね。

私は、ひたすら話を聴くような詰め込み型の研修より、自分で悩んで手を動かす時間が長い「Armorisのスタイル」が性に合っているようです。

高校生たちと話すのも楽しいですよ(笑)

短期間で詰め込まれた知識は定着が難しく、すぐに忘れてしまう。Armorisは、こうしたこれまでのセキュリティ教育が持つ課題を見直し、人や組織に浸透するセキュリティ教育を目指す。トレーニングを通し、「教えてもらう」から「自ら学ぶ」スタイルへと変革することで、机上のセキュリティ知識だけに留まらない課題解決能力が備わっていくと考えている。