クレイグ・スミスは、20年以上にわたり重要インフラの脆弱性特定に従事してきたセキュリティ研究者であり、経営幹部(エグゼクティブ)です。「レッドチーム(攻撃者)」の視点と「C-Suite(経営層)」のガバナンスのギャップを埋める稀有な存在として知られています。
世界的ベストセラー『The Car Hacker's Handbook』の著者として、自動車ペネトレーションテストの分野を確立。システムを「壊す」技術だけでなく、それを「守る」ための組織構築に長けています。
Rapid7のトランスポーテーション・セキュリティ部門ディレクター、IOActiveの副CISO(Deputy CISO)としてエンタープライズレベルのリスク管理を主導。さらに、Uber Advanced Technologies Center (ATC)では、最先端の自動運転技術のセキュリティ確保に従事しました。
現在は波彩を通じて、日本のOEMやTier 1サプライヤーに対し、UN-R155への形式的な準拠ではなく、現実的な脅威インテリジェンスに基づいた強固な防御戦略の構築を支援しています。
型式指定(Type Approval)監査を確実にクリアするための、エグゼクティブ向けコンサルティングおよび技術支援。
貴社の「プロダクト・セキュリティ責任者」として機能します。CSMS戦略の策定、監査機関との交渉、サプライチェーンのリスク管理を行い、UN-R155要件を満たす体制構築をリードします。
単なる書類作成にとどまりません。攻撃者の視点を取り入れた脅威分析(TARA)ワークショップを実施し、説明責任を果たせる強固なセキュリティケースの構築を支援します。
『カーハッカーズ・ハンドブック』の手法を用い、ECU、IVIシステム、ゲートウェイに対する「グレーボックス」診断を実施。量産前に脆弱性を特定し、手戻りを防ぎます。
『The Car Hacker's Handbook』は、単なる技術書ではありません。世界中の自動車セキュリティエンジニアにとっての基礎カリキュラムです。CANバスからECUファームウェアに至るまで、現代の車両の複雑なインターフェースを解き明かしています。
日本の組織にとって、本書はレッドチーム(攻撃側)の手法を理解し、PSIRT(製品セキュリティインシデント対応チーム)を訓練するためのベースラインとなります。弊社のコンサルティングは、これらの手法に基づいており、単なる「理論」ではなく、実際の「攻撃のメカニズム」を理解した上での防御策を提案します。
型式指定を控えたOEM、あるいはセキュリティロードマップを構築するサプライヤーの皆様へ。Hasai LLCが、貴社のvCISOニーズにお応えします。 日本語・英語での対応が可能です。
craig@hasia.co.jp