［GSS2022］「デジタル転換の核心は『セキュリティ』…認識・戦略・次元をセットに」

進化する攻撃への対応に新モデル整備
規制・人材など国家レベルの戦略が必要
「セキュリティ」を企業経営の最優先事項に認識
専門家を越え、すべてのメンバーが強力すべき

新型コロナウイルスのパンデミック（世界的大流行）でデジタル転換が加速化し、サイバー攻撃も急増した。世界のサイバー攻撃による経済損失の規模は昨年時点で9兆ドル（約1,290兆5,865億円）に達すると推算される。

金融、行政、教育、産業など、多様な領域に拡張現実、モノのインターネット(IoT)、人工知能(AI)、ブロックチェーン、メタバースが組み込まれ、業務の非対面化が日常化する中で、サイバー攻撃が起こり得る場面が増えた結果だ。

サイバー攻撃は今やデジタル転換の障壁であり、最大の脅威要因となった。生産性・効率性を飛躍的に改善してもサイバー攻撃を受ければ莫大な被害を免れない。

韓国情報保護産業協会と韓国情報保護学会が後援し、電子新聞が6日開催した「第1回グローバルセキュリティシンポジウム(GSS)2022」に参加した専門家は、サイバーセキュリティに対する認識、戦略、文化のレベルで新しいアプローチを提案した。

一部のセキュリティの専門家やセキュリティソリューションに頼る既存の方法から抜け出し、セキュリティを経営の核心価値として認識し、メンバー全員がセキュリティに関わるセキュリティ革新を求めた。

◇デジタル転換、サイバー攻撃は不可分

この日、「デジタル大転換時代の成功条件、セキュリティ」をテーマに開かれた討論会で座長を務めたイ・ギョンホ高麗大学情報保護大学院教授は、デジタル転換による情報通信技術(ICT)産業の革新とは裏腹に、サイバー攻撃の急増があることを指摘。「デジタル転換に必要なセキュリティ戦略」を求めた。

KAIST（韓国科学技術院）のキム・ヨンデ教授は、国民、国家に直接影響を及ぼす分野に対するセキュリティ性の検討が必須とし「企業がセキュリティ投資を強化できるようインセンティブを提供し、新たなセキュリティ技術の開発に導く規制改革が急務だ」と助言した。

キム教授は「韓国の規制政策を見ると、具体的に特定の技術と製品の使用を指定している」とし、「このような方法よりは緩和した要求条件を提示し、技術、製品が競合できる構造をつくらなければならない」と付け加えた。

SSNCのソン・ギウク副社長は「第4次産業革命に触発された技術開発と融合でAI、IoT機器だけでなく、自律走行自動車・スマートホームデバイスなど、あらゆる物と環境がハッキングの対象になった」とし、「これこそが政策、産業の観点からサイバーセキュリティを見なければならない理由」と強調した。

ソン副社長は、既存のセキュリティ技術、市場もまた、デジタル変換の必要性に直面したと分析した。

ソン氏は「主要国はサイバー攻撃に関連する法律を整備し、技術開発・人材育成などのための国家予算を増やしている」とし、「サイバーセキュリティは必要な技術であり、新たな成長動力として捉え、綿密な戦略を樹立しなければならない」と力説した。

イ・ドンボム韓国情報保護産業協会長は既存のセキュリティ戦略からの脱却を求めた。

イ会長は「内部を信頼区間に、インターネットを含む外部を信頼できない区間と仮定し対応する、境界線セキュリティは今や意味をなさない」と強調した。

クラウドと在宅勤務で空間の境界が消えて、業務の主体が会社の外にあり、PCなど外部資源が内部に接続されなければならない状況となり、管理対象が多次元に拡大したと分析した。

イ会長は「業務概念の変化と在宅勤務者を狙う新たな脅威などで、過去の信頼概念を今や信じられなくなった」とし、「持続的な検証と信頼を要求するデータ基盤の多次元セキュリティモデル、すなわちゼロトラストの観点からセキュリティを見つめる必要がある」と助言した。

ファーウェイコリアのイ・ジュンホ専務はセキュリティを核心価値と位置づけ、業務、さらに経営を広げるセキュリティ文化の安着が急務との見方を示した。

イ専務は「経営陣がセキュリティ投資に十分な予算を投資して、セキュリティ機器とソリューションを導入すればセキュリティの完成度が高まると考えるが、実際は違う」とし、「セキュリティにとって最も重要な部分はまさに人であり、セキュリティの重要性を認識する文化的変化が必要だ」と話した。

◇新たな脅威、新たな対応戦略が必要

最近のセキュリティトレンドと関連してキム教授は「脱中心化金融(DeFi)、敵対的AIなど、新技術に内在した新たなセキュリティの脆弱性が指摘され、攻撃を受けている」とし、「新しい技術に注目が注がれているが、セキュリティの観点からは全く検証がなされていない」と話した。

さらに「こうした理由で大企業が自らセキュリティ技術を内在化している」とし、「セキュリティ企業とビックテックの境界が保護される傾向にある」と説明した。

イ会長は「最近の攻撃の状況を見ると、攻撃者の目標と戦略が変わったことが分かる」とし、「これらの最終目標は、私たちと一緒に暮らすものであり、持続的に日常化した攻撃を続けている」と話した。

イ会長はハッキンググループ「LAPSUS$」の攻撃を例に挙げた。社会工学的な方法を利用して内部者の信頼を確保し、VPNなど正常な方法で企業に浸透するため、攻撃を認識しにくい。

イ会長は「このような変化は攻撃ツールにも見られる」とし、「悪性コードを利用した攻撃は、配布、実行、検出などの限界で他のツールに置き換えられている。Windowsに組み込まれたCurl、Powershell、Notepadなど、通常の命令がハッキングに使用されている」と話した。

イ会長は「サイバー攻撃の自給自足時代が開かれた」とし、「攻撃者は私たちの周りに存在し、攻撃ツールもまた日常的なツールであるだけに、新しい攻撃に対応できる新たなセキュリティモデルが必要だ」と助言した。

イ専務は「セキュリティの専門家に最も必要な能力はコミュニケーションと協業能力」とし、「CISO、ホワイトハッカーなど、セキュリティ問題すべてに責任を負うという考えから抜け出し、すべての組織とメンバーがセキュリティのために協力すべきだ」と注文した。

写真：電子新聞が主催し、韓国情報保護産業協会、韓国情報保護学会が後援するGSS 2022(Global Security Symposium)が6日、ソウル江南（カンナム）区COEXインターコンチネンタルホテルで開かれた。「デジタル大転換の成功条件、セキュリティ」をテーマにパネルディスカッションが行われた。左からイ・ギョンホ高麗大学教授、ファーウェイコリアのイ・ジュンホ専務、イ・ドンボム韓国情報保護産業協会長、ソン・ギウクSSNC副社長、キム・ヨンデKAIST教授

原文：https://www.etnews.com/20220906000059