さくらの熱量チャレンジ 第28回

さくらの田中社長と学ぶ新しいモビリティのあるべき姿

White Motion蔵本CEOにコネクテッドカーの課題と未来を聞いた

　自動運転やMaaS（Mobility as a Service）の構想がいよいよ具現化し、コネクテッドカーのテクノロジーがますます面白くなってきた。今回は、White Motionの蔵本雄一CEOをゲストに迎え、IoTやクラウドサービスを展開するさくらインターネットの田中邦裕社長とともにコネクテッドカーの可能性やセキュリティについて聞いてみた。（以下、敬称略）

自動車業界にはセーフティはあるが、セキュリティはまだまだ

大谷：まずは蔵本さんに自己紹介をお願いします。

蔵本：前職の日本マイクロソフトのときはいわゆるITサイバーセキュリティ全般ですね。セキュリティ製品はもちろん、セキュリティ関連じゃない製品も、セキュリティの観点でお客様に訴求していました。セキュリティって、なにをすればいいのかわからないお客様が多いので、営業との同行や講演、記事執筆などいろいろです。去年、White Motionに転職して、自動車のサイバーセキュリティ、広義で言えばIoTのセキュリティという分野を担当しています。

田中：コネクテッドカーといっても、OSからして、前職のOSともまったく違うじゃないですか。けっこう異業種ですよね。転職のきっかけって、どこらへんなんですか？

蔵本：前職でも辞める2年前くらいから、企業のセキュリティ、クラウドのセキュリティと来て、IoTセキュリティの話がいきなり増えてきました。それを横目に見つつ、これからハードウェアにインプリされたセキュリティが今後はどんどん重要になってくるんだろうなと考えはじめて、その中でもっとも尖っていたコネクテッドカーの業界からお話をいただいて、面白そうだなと思って転職しました。だから、いいタイミングで声をかけてもらったのは大きいですね。

あと、ITサイバーセキュリティって、人も多いですし、フレームワークやレギュレーションも揃ってきているんですけど、自動車の分野ってまだ全然なんですよ。

大谷：どこらへんが未知数なんですか？

蔵本：自動車の世界って、エアバックとか、シートベルトなど、いわゆる機能安全（セーフティ）に関しては事細かく規定されています。機能要件はもちろん、どんな試験やるとかも決まっているし、定量的にリスクをアセスメントするフレームワークも決まっているんです。

でも、セキュリティに関してはまだまだ。今まで機能安全しかやったことない車のエンジニアがいきなりITのセキュリティは無理です。だから、車を作るカーエレクトロニクスの人とコネクテッドの部分を作る人は、お互いに話していることがわからず、連携できない状態です。でも、お客様としては走ること、つながること含めて、1台のコネクテッドカーじゃないですか。だから、トータルでサポートしていくのがこれから重要なのかなと思っています。

大谷：White Motionには、自動車メーカーからどんな相談がくるんですか？

蔵本：基本はコネクテッドカーや自動運転を前提とした車のセキュリティ屋なので、セキュリティ対策をどうするといった相談とか、侵入検査とか、人材の教育とかもしてますね。

田中：個人的には、セキュリティが付加価値というのは違和感があって、基本価値そのものだと思います。うちのお客様も、まさか自分のサーバーが侵入されるとは思ってないですからね。Security by Designみたいな言い方しますけど、これからはコード自体がセキュリティを意識し、セキュリティが組み込まれていく必要があります。

蔵本：同感ですね。セキュリティは当たり前の世界にして、本来のコアビジネスに注力すべきだと思います。ジェットコースター乗るときに、どれがセキュリティが高いとか意識しないですからね（笑）。

制御ソフトで駆動性能が変わってしまう最新の自動車事情

大谷：転職してからすでに1年以上経ちますが、やはり自動車業界は全然違いますか？

蔵本：モノの考え方から、開発のライフサイクルから、企業や業界の文化から全然違いますね。自動車業界は基本マニュファクチュアリングなので、働く場所は工場で、定時に出退社するような働き方。だから、僕みたいなIT系の人間は完全に宇宙人扱いです（笑）。

田中：確かにIT企業は時間や場所に縛られないですよね。

蔵本：開発に関しても、車は予算が大きくて、失敗できないので、ウォーターフォール型で、石橋を叩きながら進みます。小さい規模でプロトタイプを改善して、アジャイルな流れとは違うんです。特に失敗できないという文化は強くて、その意味では早く失敗するためのアジャイル開発とはまったく逆です。

田中：IT業界の文化と比べると、けっこう水と油ですね。

蔵本：僕が思うのは、技術や働き方、手法、文化までミックスすることですね。これがミックスできると、ブレイクスルーできるし、できないとコネクテッドの部分と車の部分が分かれたり、アジャイル開発をやっているところとそうでないところがグチャグチャになります。

田中：けっこうなチャレンジですよね。日本のものづくりって、単純にコンポーネントを組み合わせるのではなく、すりあわせて全体最適化を目指すじゃないですか。こんなところにアジャイル開発とか来たら、困りますよ。

蔵本：でも、今後のフォーカスってソフトウェアじゃないですか。自動車って20年くらい乗るんですが、ハードウェアって出たときの資産価値がもっとも高くなって、そこから減価償却されていきます。でも、ソフトウェアは出たときの性能が最低で、そこからどんどん上がっていくじゃないですか。だからiPhoneとか、ソフトウェアの向上にハードウェアが耐えきれなくなると買い換え時になるんです。

田中：ハードウェアの性能をソフトウェアが決めるから、iOSなんてあとになればなるほど高機能化して、さらに速くなりますよね。

蔵本：同じようなことが戦闘機や自動車にも起こっていて、制御ソフトで駆動性能が変わったり、燃費がよくなったりします。

でも、これは自動車の人にとって必ずしもいいことばかりではないんです。今までは使っているソフトの仕様が完全に決まっていたし、変わることもなかった。これで認証をとって、出荷したのに、あとからソフトウェアアップデートすると別物になってしまう可能性が出てきたわけです。

田中：なるほど。カタログに載っている性能とか、燃費の表示すら変わってしまう可能性があるんですね。これからはバージョンxxの場合って但し書きが必要ですね。

1億行のソースコードで脆弱性をなくすという不利なゲーム

大谷：一昨日、イベントでたまたまソニーのaiboの話を聞いたのですが、aiboも完全にネットワーク経由でファームウェアをどんどんアップデートしてます。スマート家電では少しずつ浸透してきた世界観ですが、自動車にもそういう波が来たということかなと。

蔵本：はい。とはいえ、車と家電では明確な線引きがあって、家電の場合、お米が多少うまく炊けませんは許されますが、ソフトウェアをアップデートしたら、車のブレーキが効かなくなったというのはありえない話。その辺が難しいです。

田中：ブレーキの場合は、アシスト効かなくなるくらいですけど、エンジンはほぼ完全にソフトウェア制御ですよね。

蔵本：しかも巨大です。産業ごとに使われているコードの数を調べたサイトがあるんですが、コードの行数を見たらスペースシャトルでも4万くらい。でも、車はすでに1億近いんです。MacOSとかすでに超えてます。

田中：もはや遺伝子レベルですね。

蔵本：しかもコネクテッドカーって、もっと増えるんです。ネットワークにつながって、データを上げて、なんらかのシステムを利用しますから、コード的には1億をどんどん超えてきます。

こんな1億行のソースコードで脆弱性なくせって、もはや不可能。でも、防御する側は全部防御しなければならないのに、攻撃する側はどこからでも入ればいいんです。この超絶不利なゲームにどう勝つかという話です（笑）。

大谷：そのゲームに参加してしまった蔵本さんって、White Motionに入る前はこの状態を予想していたんですか？

蔵本：正直、ここまで不利とは予想していませんでした。自動車って、ソフト・ハードでいろいろな部品が使われてます。IT系ではOSひとつとっても、WindowsやLinuxなどある程度決まっています。自動車でもカーナビなんかはLinux搭載のパソコンに近いのですが、車内に搭載されるコンピューターは数限りなくあります。

今の高級車では、ブレーキや駆動制御に使うECUというマイコンが100個以上使われています。どれくらいの勢いで踏まれているかのデータを、あるマイコンから別のマイコンに送って、それを受けて適度に加速するみたいなソフトウェア制御になります。

大谷：なるほど。さまざまなコンピューターたちが分散的にミッションクリティカルなことをやっているんですね。

蔵本：ここで一番まずいのは遅延。アクセルならまだしも、ブレーキの制御で0.5秒遅れたら、確実に事故につながります。こういう遅延につながるオーバーヘッドをなくすため、OSレスのマイコンとかけっこうあるんです。でも、OSレスのマイコンチップだと、プレーンバイナリが見えてしまうので、リバースエンジニアリングが簡単にできてしまう。これに対して、セキュリティの専門家は「暗号化すればいいじゃん」って言うんですが、復号処理が遅延につながってしまうんです。

「じゃあ、高性能なチップ使えばいいじゃん」という話になるのですが、車内は振動するし、熱もすごいので、普通のコンピューターが入れられません。だから、性能よりも、耐久性や信頼性といった部分にフォーカスされてしまうんです。

大谷：なるほど。やはり専用コンピューターが必要になってくるんですね。

田中：私も高専でロボット作ってましたが、マイコンが出てきたのって1990年台ですからね。そもそもハードウェアをソフトウェアなしで使っていた時代で、私が学生だったときにPICとか出てきた感じですね。

蔵本：車がソフトウェア化してきたのは、もう少し以前からかな。先行してたのは戦闘機の分野。「Fly by Wire」と言われますが、操縦桿とかはかなり以前からソフトウェア制御されてます。それこそトップガンの時代に一気にハイテク化が進んだんです。

聞いた話だと、今の戦闘機はミサイルをよけるためにあえて直進性を持たさないように設計されているので、ソフトウェア制御なしにはまっすぐ飛べないらしいです。車も同じで「Drive by Wire」というデータ制御に移っていて、今では自動運転まで到達してます。

田中・大谷：へえー。

蔵本：しかも、自動車開発の世界ってけっこうオートコードが進んでいます。ITの世界だと、人によってコードの実装が異なるので、セキュリティレベルも違ってしまうんですが、車の世界ではオートコードで自動記述されます。だから、セキュリティのコンポーネントもあらかじめ実装しておけば、できあがったものはけっこう均一化されるんです。

田中：そこらへんは自動車業界の有利なところですね。

蔵本：規模的に自動化のメリットが大きいんですよ。サプライチェーン全体で考えると、バラバラだとどうしても効率悪いので、コンポーネント化や標準化も重要になってきますよね。

これからの自動車業界に求められるサービスとは？

田中：さくらインターネットはクラウドサービスやIoTを提供しているので興味があるのですが、いま自動車業界で求められるサービスってどんなものでしょうか？

蔵本：ずばり低遅延なクラウドと回線サービスですね。タイムリーなんですが、2日前にフォルクスワーゲンがMicrosoft Azureをコネクテッドカーのバックエンドに使うことを発表しているのですが、本当にパソコンをつなぐような感覚で簡単に使えるクラウドが自動車にも必要になるんです。あとは先ほど話していたとおり、自動車って低遅延が求められるので、そこですね。

田中：なるほど。処理のレイヤーもあると思っていて、直接ブレーキやエンジンを制御する場合は、おつしゃるとおり低遅延が重要ですが、走行したデータを解析して、燃費に活かす用途であれば、それほどリアルタイム性は必要ない。安価に保存して、あとから利用できればいい。だから、クラウドとクライアントの間に、低遅延なコンピューティングが重要になってきますね。いずれにせよレイヤーごとの棲み分けが必要になってくると思っています。

蔵本：レイヤーごとに使い分けるのは確かに必要になってきますね。あとはイベントデータレコーダーが収集するログが大量過ぎるので、容量的にローカルのハードディスクに保存するのは難しい。細かいレギュレーションは決まってないのですが、クラウドをうまく同期できれば、こうした容量面での不安からも解消されます。ともあれ、どの自動車メーカーもクラウドはうまく使いたいとは思っています。

田中：自動車メーカーは自社で電算センター持ってたりするじゃないですか。クラウドに移行する動きもありますよね。

蔵本：独自のデータセンター派とパブリッククラウドに行く派で分かれてくるんじゃないですかね。もうしばらくすると、明確になっていると思います。

田中：でも、超巨大なデータセンターをいくつも持っているのは、ノード同士がメッシュでつながるようなインターネットとはちょっと違う。車も分散して走っているのであれば、リソースも分散すべきだとは思います。

蔵本：最近、車と道路の通信をV2I（Vehicle to infrastructure）、車同士の通信をV2V（Vehicle to Vehicle）などと言ったりしますが、V2Vの場合は車を1つのノードと見立て、それらをメッシュにつないで情報共有する方法も模索されてますね。走っている車同士で通信して、1秒後の状況がわかるみたいなことが実現できます。

田中：それこそネズミ取りとかすぐわかりますね（笑）。

蔵本：とはいえ、自動車はメーカーごとに規格が違っているので、標準化できるかが未知数です。車業界はもう少し標準化した方がいいと思いますね。

田中：セキュリティの観点で言うと、共通化することで、全部のメーカーで同じように情報が漏れてしまうということもありますからね。

蔵本：たとえば、先ほど話したブレーキ踏んだら、駆動系にメッセージが行くみたいな通信って、一般的にはCAN（Controller Area Network）というシリアル通信プロトコルが使われています。IT業界的に言えば、せめてブレーキ踏むくらいの動作は標準化されてそうですが、メーカーごと、車種ごとに違います。

大谷：現時点でのセキュリティ対策としては、どんな感じなんですか？

蔵本：今は車にも多層防御を導入しようというアプローチが多いですね。たとえば、ネットワークに接続する部分にゲートウェイと呼ばれるファイアウォールを多段に置いて、なによりも駆動系を守るみたいな考え方。このアプローチでセキュリティレベルはけっこう上がるのではないかと期待しています。

IT的にはハッキングして管理者権限を剥奪するみたいな攻撃を想定しますが、最近では自動運転に必要なカメラやセンサーのデータを汚染してしまうみたいな攻撃も考えられています。たとえば、標識の画像を変えてしまうことで、意味を間違って認知させたり、前に歩いている人間を画像から消してしまうとか。いろいろな攻撃が出てきてますね。

田中：街中の標識変えたら、誤ったデータで学習してしてしまうわけですね。欧米発のAIだとパスタは認識するけど、うどんを認識しないという例もありますからね。

蔵本：先日、どっかのネタ記事で「どっかの車は（進入禁止の標識に似ている看板を持つ）天下一品に入れない」みたいな記事ありましたが（笑）、攻撃アプローチとしてはあり得るという話です。

自動運転やMaaSを見据えた主戦場は、やっぱり「データ」

大谷：自動車メーカーって各種いろいろな戦略を立ててますが、どこらへんが主戦場になるんでしょうか？

蔵本：自動車って本当に過渡期で、今までつながらなかったモノがつながるようになり、いいデータがとれるようになり、災害時に通れる道がすぐわかるみたいなことが実現しようとしています。いろいろなところで言われてますが、自動車業界もやはりデータが戦場になったときに、分散しているか、きちんと統合されているかでけっこう違ってくると思います。

大谷：どこにデータを持って、どうやって使うかが重要なんですね。

蔵本：今、車って単体で考えられることも多いですけど、サプライチェーン全体で考えるのが重要だと思ってます。Mobility as a Serviceでは、車や電車、飛行機など複数の交通手段を数珠つなぎにして、快適な移動手段を選択できます。ヨーロッパだとスマートモビリティのシェアリングサービスもあるし、EVなら屋内まで入れるので、足が不自由な人でも車に乗ったまま、複数の交通機関をまたぐことだって可能です。コネクテッドカーって、サービスを実現するためのコンポーネントの1つなんだと思います。

たとえば、蔵本のIDがどのように移動しているか調べるとしても、自動車だけのデータだったら限定的です。自動車乗るまでに自転車乗っているのか、歩いているのかまで本当はほしいはずです。ただ、現時点ではスマホとの連携になるので、データはGoogleやFacebookのようなプラットフォーマーのものになりますよね。

大谷：さくらはsakura.ioみたいなIoTプラットフォームもあるし、データ銀行みたいなプロジェクトも進めているし、プラットフォーマーとは異なるやり方ができそうですよね。

田中：われわれもコンピューターを提供するだけではなく、コンピューターを使う会社になろうというのが最近のテーマです。データがあって、コンピューターがあって、アウトプットがあって初めて価値が生まれるからです。でも、データの量が増えないと精度は上がらないし、一台のデータだとあまり意味をなさないですね。

インターネットが持ち込んだ概念の1つって「集合知」だと思うんですけど、車においてもデータを集めることで、集合知になると思うんです。ピーク性能を高めてみたけど、データを調べたら、タクシーはそもそもスピード出さないよとか、車種ごとにもっともお客様が快適なコンディションが把握できることができるかもしれません。

蔵本：本当ですよね。車がたくさんつながり、データが集まり、初めて集合知になるのですが、現時点ではまだつながっている車自体が少ない。まさにこれからです。

（提供：さくらインターネット）