入社4年目でプロジェクトリーダーに。ニーズ高まるセキュリティ領域での日立の若手活躍現場を深掘り

私たちが日々手にする便利なデバイスや、進化を続ける家電製品。それらがネットワークにつながることが「当たり前」になった今、その裏側で、目に見えない「サイバー攻撃」の脅威が静かに、確実に広がっています。
かつては付加価値の1つだったセキュリティは、いまや製造業における「品質そのもの」と言っても過言ではありません。欧州サイバーレジリエンス法（Cyber Resilience Act、以下：CRA）をはじめとする法規制への対応は、避けては通れず、事業継続をも左右するようになりました。

一方で、脆弱性対応やSBOM（Software Bill of Materials：ソフトウェア部品表）整備、インシデント発生時の社内外連携を構築できる人財やノウハウは不足しがちなのが現実です。

今回は、そのような社会課題に対して、製造業向けにPSIRT（Product Security Incident Response Team：製品・サービスのセキュリティを守る組織）事業を展開している、日立製作所のSE・小清水さんにお話を伺いました。

入社4年目ながら、自身が受注したPoC（概念実証）プロジェクトでプロジェクトリーダー（以下、PL）を担当されているという小清水さん。若手PLとして、プロジェクトをどのように立ち上げ、いかに推進しているのか。現場のリアルを聞きました。

プロフィール

小清水 美咲（こしみず みさき）

株式会社 日立製作所
AI&ソフトウェアサービスビジネスユニット マネージド＆プラットフォームサービス事業部
エンジニアリングサービス＆セキュリティ本部 プロダクトセキュリティソリューション部

2022年4月、日立製作所にSEとして新卒入社。製品セキュリティ（PSIRT）事業のコンサルメンバー等を経て、2024年より同事業の新規顧客に対する提案・拡販を行う担当者として、提案訪問からプレスリリース・コラム執筆まで、幅広く活動。現在は、PSIRT事業におけるフロントSEとして、製造業クライアントに対するPoCのPLに従事している。

法規制対応で急速に需要が高まっている「PSIRTソリューション」

――まずは小清水さんが所属するプロダクトセキュリティソリューション部について教えてください。

小清水：私の所属する部署では、「PSIRT」に関する事業をメインで行っています。
PSIRTとは、製造・提供しているIoT機器製品のセキュリティインシデントの予防や発生時の対応など、製品のライフサイクル全体を含めたセキュリティリスクマネジメントの推進を行う組織です。

――CSIRTという、似たような言葉を聞いたことがあります。何が違うのでしょうか？

小清水：「CSIRT（Computer Security Incident Response Team）」は、企業内におけるITシステムのセキュリティ問題を専門的に扱うインシデント対応チームのことを指しますね。ちなみに、工場や生産ラインにおけるインシデント対応チームは「FSIRT（Factory Security Incident Response Team）」と呼ばれたりしています。私の所属する部署では、お客さまの組織内にPSIRTを立ち上げる、もしくは運用するための各種ソリューションをご提供しています。

日立のPSIRTトータルソリューションでは、PSIRTをこれから構築したい企業に向けた構築・構想策定、教育、訓練などを行う「マネジメント（コンサルティング）」、SBOM支援の「プロセス（コンサルティング、ツール）」、脅威の分析や脆弱性・サイバー攻撃監視といったPSIRTの運用を支援する「運用（プラットフォーム）」を提供している

――製品やサービスのセキュリティを守る、ということですが、実際に現場ではどのような脅威が想定されているのでしょうか？

小清水：例えば、車両の制御機能への攻撃が考えられます。車両の制御機能が攻撃されると、止まるべきところで進んでしまったりということが考えられ、重大事故につながるリスクがあります。他にも、信号機が攻撃されると、大規模な交通混乱につながるリスクがあります。IoT製品は人々の生活に密着するため、インシデントが発生した場合、人命やインフラへも影響を与えるため、非常に大きな脅威となります。

このような脅威に対応し、世界的にセキュリティ関連の法規制の整備が進んでいます。現在特に注目されているのが「CRA（欧州サイバーレジリエンス法）」と呼ばれる法律です。CRAは、EU市場において、デジタル要素を有する全ての製品に対してセキュリティ要件を求めており、違反した場合は厳しい罰則が科されます。
これまでも自動車や医療機器などの業界では、厳格な法規制への対応が行われていましたが、CRAではネットワークにつながる製品を扱う全ての製造業が対象となり、各社は喫緊の対応が必要となっています。

IoT機器を狙ったサイバー攻撃は9年間で10.9倍に急増。現在ではサイバー攻撃全体の約半数を占め、無視できない深刻な脅威となっている

――結構大きな話ですね。現場のお客さまは、CRAについてどこまでキャッチアップできているのでしょうか？

小清水：もちろん規制対応の必要性は理解されているのですが、製造現場では法律文書を読み慣れていないことも多く、抽象的な表現がされている箇所もあり、戸惑いや「どのように解釈すれば良いのか分からない」といった声もよく聞きます。
そのような声に対して日立では、セキュリティコンサルティングのメンバーがCRAなどの解釈を整理して「こう捉えるとよい」「将来こうなっていく可能性がある」と見解を提示しています。加えて、お客さまの現状と規制対応のギャップを整理し、ロードマップを引いて「次に何をするか」を一緒に決めていくコンサルティングも行っていますね。

――危機感としてはいかがでしょうか？

小清水：規制に対応できないと、製品が販売できず事業継続の可否に直結するので、危機感は非常に強いです。
しかし、影響の大きさに対して、余裕を持って対応できている企業は多くありません。
セキュリティ人財が潤沢にいる企業ばかりではないので「やれる人がいない」「知見・ノウハウがない」という要素も大きいと感じています。

だからこそ、私たち日立の知見が頼りにされている部分でもあると思います。
最初から全社的に網羅するPSIRTの構築を推進することもあれば、事業部レベルのPSIRT構築からご支援することもあります。

日立の強みは、メーカーとしての「当事者経験」にあり

――小清水さんは2022年に日立製作所に新卒入社されたと伺いましたが、現在のセキュリティ領域に携わるようになったのはいつからですか？

小清水：部署はずっと同じです。1年目はPSIRT構築コンサルティングのメンバーとして参画しました。2年目は車両のサイバー攻撃検知の方式検討や、調査系のコンサルティングにメンバーとして入っていました。3年目からは提案・拡販が中心で、新規のお客さまへの提案を行ってきました。
受注は簡単ではなく、お客さまの元に何度も足を運んで提案を行ったり、プレスリリース作成、サービスサイトでのコラム執筆なども継続し、ようやく昨年末に1件、PoCプロジェクトの受注につながりました。今はそのプロジェクトのPLを担当しています。

サービスサイトに掲載されている各種コラムは、ヒガキさん監修のもと小清水さんにより執筆されている

――入社4年目からPLはすごいですね！しかも、ご自身で提案して受注した案件とは。提案はおひとりで対応されていたのでしょうか？

小清水：上長に同行してもらうことが多いですが、ヒアリング、提案、その他調整などのお客さま対応は基本的に全て私が実施していました。ツールに精通したエンジニアに同席いただくこともあります。私自身は、フロントとして全体を見て、お客さまの課題整理と次の打ち手の組み立てを主に担っています。

――提案の進め方で、意識していることは何かありますか？

小清水：最初のドアノックは標準資料で概要説明しつつ、そこで必ず、お客さまが抱えている課題をしっかりとヒアリングします。2回目以降は伺った課題にフォーカスし、原因を分析し「なぜ詰まっているのか」「どこを変えると効くのか」を整理した上で、解決策としての提案に落とし込んでいます。お客さまの言葉をそのまま要望として受けとるのではなく、背景の構造を深掘りしていくイメージです。

――具体的なプロジェクト内容を伺う前に、担当されているソリューションについても教えてください。先ほど教えてもらった日立のPSIRTソリューションの全体像の中で「PSIRT運用プラットフォーム」とありましたが、どのような内容でしょうか？

小清水：脆弱性情報と製品構成情報を一元管理するプラットフォームです。製品の構成情報をSBOMとして整理し、プラットフォームに登録しておきます。
そうすると日々、NIST（アメリカ国立標準技術研究所）のNVD（National Vulnerability Database）などから様々な脆弱性情報を収集して、登録された製品情報とマッチングし、該当があれば「この製品にこの脆弱性が見つかりました。調査してください」と通知が届きます。その後の調査内容や対処内容、意思決定の記録まで含めて管理できるようにするのが、PSIRT運用プラットフォームです。

――図をみると、様々なサービスが内包されていますね。例えば、NEWと記載のある「脆弱性分析サービス」ではどのような機能を提供しているのでしょうか？

小清水：こちらは2025年3月5日から販売開始した、生成AIを活用したサービスです。専門知識がないと読み解きにくい脆弱性情報をAIが解析し、「製品が脆弱性の影響を受ける条件」だけをチェックリストとして出しています。

「脆弱性分析サービス」の概要

――どれくらい読み解きにくい情報なのでしょうか？

小清水：例えばNIST NVDの各脆弱性情報をご覧いただくとお分かりいただけると思います。
脆弱性情報は、専門用語や技術的な情報が多用されており、製品が脆弱性の影響を受ける条件だけでなく、考えられる攻撃手法や悪用された際の被害、脆弱性の対象外となる条件なども混在して英語で記述されています。通知が来てもそのままだと自社が影響を受ける内容なのか判断がつきにくいです。

脆弱性分析サービスでは、その「製品が脆弱性の影響を受ける条件」だけを日本語でリストアップして提示することで、読み解きの労力を減らします。担当者は、チェックリストを見ながら設計書やソースコードを確認するだけで済むので、専門知識の不足を補い、適切な対応を行うことができます。

――なるほど。たしかに、この原典だけ見ても非常に分かりにくく、判断もつきにくいですね…。

小清水：これまで人手でやっていた「影響条件の読み解き・整理」を省けるので、調査にかかる時間が約45％削減できる試算です。
また、共通のチェックリストで対応するため、セキュリティの知見が少ない人でも知見がある人と同等の品質での調査が可能となり、対処品質の底上げにもつながっています。
私が執筆したこちらのサービスのプレスリリースもご覧ください。

――競合も多い領域だと思いますが、その中で日立の強みはどこにあるとお考えですか？

小清水：提案していて一番感じるのは、日立自身がメーカーとしてグローバルに製品を出し、製品セキュリティやPSIRTを継続してきた「当事者経験」があることです。コンサルティング会社でもPSIRT構築の支援は可能ですが、自社で製品を持って運用してきた経験は強みであり、日立のノウハウを頼りにしていただける場面は多いと感じます。

――ノウハウの部分は、プロダクトにも反映させているのですか？

小清水：例えばPSIRT運用プラットフォームは、日立社内の実運用でのノウハウが反映されたソリューションです。具体的にはコネクティブインダストリーズセクターの各社にて導入PoCを行い、社内での実運用を通じてユーザーから要望や課題をヒアリングし、機能としても実装していきました。

知識不足は周囲の力で補いつつ、リーダーとしてやるべきことはやる

――約1年半の提案活動が奏功したPoCプロジェクト内容についても、可能な範囲で教えてください。

小清水：製造業のお客さまで自社製品の脆弱性対応業務を支援するソリューションのPoCを行うプロジェクトです。
そのお客さまは、SBOMを作成・管理して脆弱性対応する一連の流れを、手作業中心で回していました。
工数が大きく、記録管理も長期化すると破綻しやすいので「システム化したい」というニーズがあったことから、SBOMを作るSCA（Software Composition Analysis）ツールと、脆弱性対応を管理するPSIRT運用プラットフォームの2つの導入可否を判断するべく、PoCで評価するプロジェクトを進めています。

――既存の膨大なExcel管理情報を移行するのですか？

小清水：今はツールを評価して導入判断をするのがゴールです。よってデータは代表製品のデータで対応し、そこに対して評価項目を作り、どのような結果なら導入判断になるかをお客さまと詰めた上で、評価シートを一緒に作っています。

――現場業務ということで、使いやすさなども導入判断の論点として上がりそうですね。

小清水：そうですね。使いやすいか、使い手の育成がしやすいか、現場業務へフィットするかはもちろん判断基準になりますね。それに加えて、SCAツールはソースコードを解析してSBOMを出すので、想定した構成情報が精度高く出るかも重要です。お客さまのコードで解析して、どの程度の精度が出るかは大きな評価ポイントになります。

――こちらのお客さまは、どのような経緯で受注につながったのでしょうか？

小清水：実は過去にPSIRT構築の提案をして、失注した経緯がありました。その際は別のベンダーさまが構築されていたのですが、その後の運用フェーズで何か課題が出ていないかとヒアリングで再訪したのがきっかけです。
運用の細部をお客さま側で考えなくてはならず負担が大きいことをお悩みでしたので、その課題解決に向けて再度ご提案をしたところ、最終的には私たちが受注できました。

――そうなると、RFP（提案依頼書）などが出ていたというわけでもないんですよね？

小清水：はい。もともと顕在化して進んだ話ではなかったので、担当の方が実際にやる気になった後も、PoCを実際にやってくれる製造所の方々や、その上長の方の説得が必要でした。

――何が決め手だったのでしょう？

小清水：最初の課題ヒアリングから原因分析を丁寧に実施し、「こうやって解決できる」「日立はここまでできる」という提案を作り込んだことが大きかったと感じます。初回訪問と2回目の訪問の間で、ここまで分析してくれるのかと。

その後も、お客さまの社内への説明や関係者調整など、提案書以外の部分も含めて根気強くご支援し続けたことが、信頼につながった感触があります。

――今回は初めてのPLも担当されているということで、苦労された点や意識していることなどを教えてください。

小清水：経験が圧倒的に少ない中で、様々な判断や準備、お客さまとのやり取りを主導する必要があるので、大変さはあります。
時にはご指摘をいただくこともありますが、そのようなときこそ、周りを頼ることを強く意識しています。日立には、知見のある方やグループ会社の方が多く在籍しているので、分からないことは迷わず相談して知恵を借りています。

一方で、私はPLなので、旗振りはしっかりとしないといけません。メンバーの詰まりを早めに拾って解消し、プロジェクトの指針は自分が言語化して示す。知識不足は周囲の力で補いつつ、リーダーとしてやるべきことはやる、というバランスを意識しています。

――ご自身の中でのロールモデルや、参考にされてる方はいらっしゃいますか？

小清水：直属の上長はすごく尊敬できる方で、プロジェクトを推進・マネジメントする立場の人間にとって、熱意や意志があることは非常に大事だと実感させられます。
不確実性がある中で決断していかなければならないことも多いと思いますが、そのような際に熱意や理想が大きな指針になってくるので、そこを自分も見失わないようにしないと、と日々思いながらPL業務と向き合っています。

モノづくりをしている企業はかっこいい

――現在は非常に専門的な分野を担当されていると思うのですが、学生の頃はどのようなことを学ばれていたのでしょうか？

小清水：工学部で機械工学を学び、熱や流体系の研究をしていました。テーマとしては、小型の飛行物体、例えばドローンの翼の形状に、トンボの羽の形を応用できないか、といった研究ですね。飛行物はサイズによって適した翼が変わるので、「小さいスケールの飛び方」に強い生物の構造からヒントを得られないか、という発想でした。

――そこからSE志望に切り替わったのは、どのような流れだったのでしょう？

小清水：研究の中で、ツールとして少しプログラミングをしていました。実験や解析で使う程度でしたが、やってみたら意外と面白く、また、ITはネットワークさえあれば場所や属性に関係なく生活そのものを変えられる可能性があるなと思いまして。
就活に関しては、もともと「モノづくりをしている企業はかっこいい」という価値観を持っていたので、「モノづくりもやっていて、ITもやっている」日立を志望した、という流れになります。

――「モノづくりがかっこいい」と感じた原体験はありますか？

小清水：大学時代に、「いま研究で作っている人工衛星です」とある教授がモデル図を見せてくれたことがあったのですが、想像していた衛星の形と違って、かなり斬新なデザインだったんです。
「このような形になるんだ」と驚いて。重電系や大きなプロダクトはスケールが大きい分、人の生活や常識を変えたり、人を驚かせたりできる。そういう力を持っているのがすごいな、かっこいいなと思ったことを覚えています。

――素敵なエピソードですね。日立への入社前後のギャップはありましたか？

小清水：悪いギャップはほとんどなく、良いギャップが多かったです。
学生の頃は「社会人＝怒られるのが当たり前」というイメージがあったのですが、厳しい指摘こそありますが、怒鳴られたり、理不尽に詰められたり、ということは全くありません。

――大きな組織だと、意見が通りにくいというイメージもあります。実際、意見は言いやすいですか？

小清水：言いやすいです。会議では意見を求められますし、プロジェクトの空気としても意見を出す前提があります。PLになるとそもそも意見を言うしかない、というのもあります（笑）

――日立さんを取材していると、「とにかく人が優しい」という話もよく出ますが、実感としていかがですか？

小清水：私もそこは強く思います。相談すればしっかりと聞いてもらえますし、業務外の場でも攻撃的な方がいない。全体的に思いやりがあるというか、優しい方が多いなと思います。

事業やサービスの立ち上げなど、より大きく事業拡大に貢献していきたい

――いい意味で「厳しい」と感じる瞬間はありますか？

小清水：手取り足取りではない、という意味では厳しいですね。
例えば提案書や資料づくりは、基本的に上長は手を出しません。ですが、レビューではたくさんの指摘が入ります。求められる水準が高く、100点より120点をめざし、妥協させない空気があります。

PLも同じで、過保護に助けるというよりも「問題を自分で乗り越えて成長しなさい」というスタンスを感じます。厳しさはあるけれど、こちらのことを思っている厳しさだな、と受け止めています。

――社内で「DSSイノベーション推進賞」を受賞されたとも伺いました。こちらはどういう点が評価されて受賞されたのでしょう？

小清水：先ほどお伝えした脆弱性分析サービスについて、生成AIを活用してサービスを立ち上げ、製造業のお客さまが抱える「セキュリティの知見・人財不足」という課題にアプローチできている点を評価してもらえたのかなと思っています。

――非常に活躍されていますね！職場の働きやすさ、という観点ではいかがでしょうか？

小清水：最近、先輩が出産後に時短で復帰されたのですが、出産前と同じ仕事を続けているのを見て「こういう働き方もできるんだ」と思いました。男性も育休を取るのが普通で、「しっかりと取りましょう」という雰囲気があります。出産以外でも、お子さんの事情や介護で長期の時短勤務をしている方もいるので、ライフイベントに合わせて働き方を調整できていいなと感じます。

――今後取り組んでいきたいことも教えてください。

小清水：まずはプロジェクトを安定して動かせる人になりたいです。経験を積んで、もっと大きい案件でもきちんと回せる存在になっていきたいですね。
また、将来的には事業やサービスの立ち上げなど、より大きく事業拡大に貢献できたらいいな、とも考えています。自分も会社も、稼げると嬉しいですからね。

――間違いないですね！今後、どのような方と一緒に働きたいですか？

小清水：提案や拡販は短期でエンジンをかける場面が多いので、熱意がある方、ガツガツ動ける方は相性がいいと思います。
また、私は上流寄りの仕事が多かった分、エンジニアリングの技術が弱いところがあるので、尖った専門性を持っていて、自分の強みを伸ばしている方は本当に頼りになります。ぜひ、そういう方とも一緒に働きたいですね。

――ありがとうございます。それでは最後に、Qiita読者の皆さまへメッセージをお願いします。

小清水：日立は「やりたいこと」をしっかりと伝えると、チャンスをもらえたり、声をかけてもらえたりします。やれる環境は整っていると思うので、何かやりたいテーマがある方は、社内の人財や仕組みを活用しながら実現していけると思います。ぜひご応募ください！

編集後記

「PSIRT」という専門性の高い領域を、入社4年目の若手がPLとして案件を動かしているという点が非常に新鮮でした。法規制、脆弱性、SBOM、生成AIなど、どれも簡単ではないテーマですが、「現場でどう回すか」という実務の視点で捉え、提案活動からコラム執筆まで幅広く活動する姿勢は、日立製作所の組織力の源泉を垣間見た気がしました。製品セキュリティという領域はもちろん、ポジティブな姿勢でメンバーが活躍する環境に身を置きたいという方は、ぜひ一度、話を聞いてみてはいかがでしょう。

取材／文：長岡 武司
撮影：平舘 平