[レポート][パナソニックホールディングス株式会社]メーカにおける製品セキュリティ確保のおしごと～現職若手の視点から課題を探る～ – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

[パナソニックホールディングス株式会社]メーカにおける製品セキュリティ確保のおしごと～現職若手の視点から課題を探る～

多くのメーカでは自社の製品のセキュリティ確保の為、チームや担当者を定めて取り組んでいます。弊社を含む多くのメーカがどんなことをしているか、を各社のキーマンから聞いたことはあれど、その中で若手技術者がどのような仕事をしているか、あまり光が当たらなかったのではないでしょうか。 本日はSony社とPanasonicの製品セキュリティ担当者のなかから、とりわけメーカセキュリティの未来を担う若手のエンジニアが、どういった経緯や想いで仕事を取組んでいるかに触れ、また、折角の場なので日頃思っている事を話して頂く場とします。 その中から若いセキュリティエンジニアが活き活きと働けるように、今後メーカの製品セキュリティをどうしていくのか、を考える時間にしたいと思います。

Presented by : 中野 学 (パナソニックホールディングス株式会社) 土屋 瑶亮 (パナソニックホールディングス株式会社) 渋谷 香士 (ソニーグループ株式会社) 山口 大輔 (ソニーグループ株式会社)

レポート

• 普段壇上に上がらない若手をあげて、つついてみようというコンセプト
• パナソニック中野さん
  • パナソニックでは製品セキュリティセンターとして製品全般を見ている
    • IoT家電のセキュリティ強化
    • インターネットにつないでどんな攻撃が来るのか収集している
    • 今後の目標: 攻めのセキュリティ
      • ライフサイクル全般で対応
• ソニー渋谷さん
  • ソニーの製品セキュリティ
  • 品質マネジメント部としてPSIRTを持っている
  • 取り組み
  • サステナビリティレポートの中でも製品セキュリティについて触れている
  • ソニーSDLを導入
• 自己紹介
  • パナソニックホールディングス株式会社製品セキュリティセンター
  • 製品セキュリティグローバル戦略部
    • メンバー土屋さん
    • 新卒3年目
  • ソニーグループ株式会社
    • メンバー山口さん
• 本題

若手の皆様に聞いてみたいこと

• なぜセキュリティの道を選んだか
  • 土屋さん
    • 大学の頃は一切セキュリティに関わってなかった
    • 新しいことをやってみたかった
    • 手に職つく技術と伸びしろを考えて、たまたまパナソニックの面接を受けて、中野さんに「セキュリティ興味がありますか？」と一本釣りされた
  • 中野さん
    • メーカーなのでセキュリティやりたくて来る人がいない
    • 面接で聞くけどみんな受かりたいから「はい」と答える
    • その中でも土屋さんは前のめりだった
  • 山口さん
    • 大学の中の講義で興味を持った
    • コンピュータ・サイエンスのメモリ管理
    • BOFをやってみようとなった
    • わくわくした
    • いまでもわくわくは続いている
  • 渋谷さん
    • ソニーもあまりセキュリティをやりたい人が来ない
    • もともとは素養があるかを見てなんとか入ってもらって育てることが多かった
  • 中野さん
    • 人材が研究部門に行くこともある
    • 製品側は確保難しい
  • 土屋さんもわくわくしている
• どのあたりがワクワクするか？
  • 土屋さん
    • セキュリティ業界に入るとどんどん新しいものがでてトレンドが移り変わるところにわくわくする
• メーカーのセキュリティ担当として働いてみてよかったこと、気に入らないこと
  • 山口さん
    • 自分が関わったものが実際に社会に出て触ってもらえる、世の中に形が出ているのがやりがいを感じる
  • 中野さん
    • 大工さんの地図に残る仕事と似ているかも
  • 渋谷さん
    • ものづくりのメーカーとして大きい
  • 土屋さん
    • 新卒で入っているので他のところがどうかはわからないけど、風通しのいい印象
    • 自分たちの考え方だけじゃなくて人の考えも尊重してくれる
  • 山口さん
    • やりたいことがあれば色々提案できる
    • チームメンバーといろいろ話せる
  • 中野さん
    • 気に入らないところは？
  • 山口さん
    • 制約事項が多い
    • ハードウェア的なところ
    • RAMとかOEMだからコントロールできないとか
    • 教科書的な制御ができない事がある
  • 中野さん
    • お金や時間や技術やいろんな制約があるなかで最大値を出さないといけない
    • 完璧を求めると辛くなる
    • ただ完璧を求めないとそれも辛い
  • 土屋さん
    • 入社したのがコロナになってから
    • 出張も一切ない
    • 保守的な人は多い
    • 判断を仰ぐ時の遅さがネックになる気がする
  • 渋谷さん
    • リスクを取る部門でもあるので保守的になりがち
    • どううまくやるのかは工夫するところ
  • 中野さん
    • チャレンジはしていきたい
    • 言い訳になりそうだけど
    • なぜ判断が遅くなったか、を具体的に探るといい
  • 山口さん
    • セキュリティって何も起きなければそれでいい
    • 悪いときだけ目立つ
    • セキュリティが強みになると嬉しい
    • そういう製品づくりをしたい

若手の皆さまがこの場で聞いてみたいこと

• 山口さん
  • PSIRTは高度な判断をしているイメージ
  • 新卒が入ることをどう思うか
• 中野さん
  • 若手もどんどん入るといい
  • 挑戦すると良い
  • 調整業務は多いので、顔の広さは物を言う
  • PSIRTといってもやることはいっぱいあるので、どれをやるかにもよる
  • 技術的なところを明らかにするのは若手のほうがいいかもだし
  • 切った張ったするならベテランが良いかも
• 渋谷さん
  • PSIRTといってもポジションがすぐ決まるわけでもない
  • セキュリティ原理主義みたいなのと、そうじゃないのとバランスを取る
• 中野さん
  • ソニーPSIRTでは議論が発生する？
• 渋谷さん
  • する
  • ビジネスや脆弱性やコストや最適化とかいろいろ
  • 時間がかかるところではある
  • 密に議論する
• 中野さん
  • いろいろ議論になる
  • 議論を見ていればわかってくることはある
  • パナソニックPSIRTの平均年齢を若くしていくために入ってもらいたい
• 山口さん
  • PSIRTに若手が入ってくるときにどんな活躍を期待するか、どんな能力がほしいか
• 渋谷さん
  • ある程度物怖じせず言える力
  • 技術的な視点
  • 年齢が上の人は調整能力はあっても技術で追いついていない事がある
  • 限られた時間の中で完結に表現してほしい
• 中野さん
  • 論理的な人
  • 感情を制御できる人
  • 苛立つことはいっぱいあるから
  • インシデント発生中はみんなカリカリしている
  • 周囲に流されずベストな判断できるといい
• 土屋さん
  • どういった経緯で今PSIRT業務に従事しているか
• 渋谷さん
  • ソニーに入った時はR&Dで暗号について
  • 全社的にセキュリティが活かせるところに移動
  • その頃からPSIRTに類する機能があった
  • 実際にPSIRTとしてまとめるところからやった
• 土屋さん
  • 一番達成感を感じた、あるいは苦労した瞬間
• 中野さん
  • 達成感は大変な案件が終わったときに事業部からありがとうと言われたこと
  • 終わったのと役に立ったのと
  • パナソニックPSIRTは注意喚起や周知することも感謝される時はある
  • 少し違うけどいろんなPSIRTが集まってぐちをつまみに酒を飲むのは楽しい
• 渋谷さん
  • 事業部とすごく揉めることは多い
  • 最後に同じ方向を向けると達成感
  • 最後ももやもやのまま終わると不満
  • R&Dはコンペティターなのであんまり話さない
  • PSIRTは他の人と色々話せる
• 中野さん
  • 業種を超えて話せると楽しいし気づきもある
  • 他社を真似することもできる
  • 良い文化
  • セキュリティは情報共有してなんぼというのもある
• 山口さん
  • PSIRTの会議に参加して、他社との連携の重要性を感じる
  • トップに説得するときにも他社の情報をうまく使える
  • 逆にどこまで話していいかの線引が難しいがどうか
• 中野さん
  • 修正済みならいい
  • 修正してないと難しい
  • 喋りたいホットなことはそんなにたくさん無いはずなので、周りの判断をもらうと良い
  • 喋っているとわかってくる
  • どういう場かもある
  • PSIRT同士では大枠のNDAがある
• 渋谷さん
  • 信頼関係は大事
  • 信頼関係を持ってある程度踏み込んでいく
  • メーカーとしては同じようにお客様を守る
  • 終わった後に次に活かせそうなことを共有したり
• 土屋さん
  • PSIRTメンバー間でかなり仲がいいと思う
• 渋谷さん
  • 正しく議論をしてきて戦友みたいな感じ
  • 外でも感じることがある
  • PSIRT大変な仕事だと思う
  • 内向きにずっとやっていると煮詰まってくる
  • 外の人と話をすると広がる
• チャットで質問
  • 眠れないことはありますか？
• 中野さん
  • 徹夜で作業しなきゃいけないことは極稀にある
  • きちんと眠らないと作業できない
  • 気分転換のスイッチは必要
• 渋谷さん
  • ねれないことはあんまりない
  • 製品という側面だと脆弱性でリアルタイムに漏れているということはそんなに無い
  • だから寝ていいとかではないけれども
• 土屋さん
  • ワクワクしてねれないこと
  • データ分析を担当しているけど、最近流行りの脆弱性を狙った攻撃を観測したときはワクワクする
  • 夜はぐっすり眠る
• 山口さん
  • 開発に近い立場でコーディングしていると息詰まって布団に入る
  • 落ち着くといろんなアイデアが出てくる
  • 起きたら半分忘れる
• 結論: みんな寝てる

まとめ

• 中野さん
  • CODE BLUEがリアルで開催できて、やっぱりいいな
  • どこでもいいので会話をしていきたい
• 渋谷さん
  • 他社との連携はリーダーから話していくことになるが、下の世代も広く、縦も横も、大きく繋がれるといい機会になる

感想

若手と話すって楽しいですね。元気をもらえます。

頑張れーって応援したくなりました！