韓国科学技術情報通信省は、人工知能(AI)「クロード・ミュトス」などの高性能AIを悪用した官民へのハッキングに対応するため、複数の対策を打ち出した。
メガ・ニュース(MEGA News)のパン・ウンジュ記者の取材によると、これらの対策は、ペ・ギョンフン(裵慶勲)副首相兼科学技術情報通信相出席のもと、5月29日に開催された「第9回科学技術関係閣僚会議」で、「AIベースのサイバー脅威に対応するための民間情報保護推進計画」として発表された。計画は全7項目で構成されている。
この対策に基づき、科学技術情報通信省内に民間分野を統括する状況班を設置する。また、韓国インターネット振興院(KISA)内に脆弱性管理センターを設置し、脆弱性およびパッチ管理を一元化する。AIによる攻撃の高速化に伴い、パッチ適用までの時間短縮が重要課題として浮上しているためだ。
特に、KISAの脆弱性情報ポータル(KNVD)を中心として、企業の最高情報セキュリティ責任者(CISO、約2万8000社)、民間協力チャネル(C-TAS、ISAC)、各省庁の状況班、官・軍全体に対し、迅速な情報共有と対応勧告をする緊急対応体制も構築する。さらに、中小企業向けにセキュリティ投資ガイドや対策実施を推奨するウェブツールも配布する。
AIセキュリティ脅威に迅速に対応するため、世界中のドメイン(約3億5000万件/日)を常時監視し、2027年からは国内の情報保護体制を独自のAI技術基盤へ転換する方針だ。
これらの対策の詳細は以下の通り。
(1) AI脆弱性の公開に対応するための官民合同対応体制の整備…政府は、大統領室国家安保室を中心として、AIの脆弱性公開やパッチ情報、脅威状況などを迅速に共有・周知し、侵害事故(兆候)が発生した際には官民合同で対応可能な緊急体制を構築する。また、科学技術情報通信省内には総括状況班を設置し、民間分野については各所管官庁ごとに状況班を運営する。
(2) 脆弱性管理センターを中心とした脆弱性・パッチ管理の一元化および緊急対応体制の整備…韓国インターネット振興院(KISA)内に脆弱性管理センターを設置し、脆弱性およびパッチ管理を一元化するとともに、関係省庁および企業への技術支援を推進する。特に、KISAの脆弱性情報ポータル(KNVD)を中心として、国内外への公開・届出や関係機関との共有を通じて、脆弱性およびパッチ情報を幅広く収集・分析する。
また、企業の最高情報セキュリティ責任者(CISO、約2万8000社)、民間協力チャネル(C-TAS、ISAC)、各省庁の対策班ならびに官・軍全体に対して、迅速な情報共有と対応勧告をする緊急対応体制も構築する。さらに、科学技術情報通信省が国際協力を通じて確保した最新かつ高性能なAIモデルを、こうした脆弱性・パッチ関連業務および企業支援全般に試験的に適用することも推進する。
(3) 主要企業はセキュリティ対策態勢を強化、中小企業はセキュリティの基礎固めを徹底…AIセキュリティ脅威による被害の波及効果が大きい主要企業については、セキュリティ対策態勢の強化に向けて、各所管官庁の主導の下で資産管理、脆弱性点検、パッチ対応などを自主的に推進させ、政府は分野別の履行状況を点検する。対象は約1200社(重複含む)である。被害の波及リスクが高い情報通信基盤施設およびISMS義務対象企業をはじめ、金融、医療、エネルギー分野の大企業、上級総合病院、主要私立大学などが含まれる。
中小企業については、セキュリティ管理の出発点となる資産管理体制の確立に向けて、自らIT資産の識別と現在のセキュリティ水準を診断し、その結果に基づいてセキュリティ投資ガイドや対策実施を推奨するウェブツールを提供する。また、AIに悪用されやすいオープンソースの脆弱性を先制的に特定・対処できるよう、ソフトウェア部品表(SBOM)の生成・分析に関する技術支援も推進する。
さらに、アタックサーフェス診断および専門家によるコンサルティングを提供し、万が一のサイバー攻撃による影響範囲の最小化に努めるとともに、科学技術情報通信省が利用権限を確保した高性能AIモデルを活用して、中小企業の製品(ソフトウェア)の脆弱性点検などのインフラを提供し、AI脅威にも容易に揺るがないデジタル産業環境の構築を促進する。
(4) AIベースのサイバー脅威に対する先制対応体制の確立…AIセキュリティ脅威に迅速に対応するため、世界中のドメイン(約3億5000万件/日)を常時モニタリングするとともに、AIを利用した悪意ある行為(攻撃準備)やドメインを生成直後に検知し、対応する。また、AIサービスに関連する侵害事故(兆候・疑い)が発生した場合には、「侵害事故調査審議委員会」を直ちに稼働させ、迅速な侵害事故調査および被害拡大の防止に取り組む。
(5) 国際協力を通じたグローバル水準のAIセキュリティエコシステムの構築…OpenAIの政府・機関向け信頼基盤アクセスプログラム(GTAC)の確保を手始めに、グローバルビッグテック企業とのAIセキュリティプロジェクトへの参加や情報取得のための協力を継続する。また、友好国のサイバーセキュリティ機関との間で、AIベースの脅威対応や情報共有などに関する協力強化も推進する。
(6) 国民向け広報および対応要領の周知…脆弱性の発見からパッチ適用までの全段階にわたり、主体別(メーカー、企業・機関・一般国民)の対応要領を整備して周知するとともに、セキュリティ投資拡大に向けた広報も継続的に推進する。セキュリティ投資の拡大を目的として、主要産業のCEOなどを対象に、政府の行動指針に基づくリレー形式の懇談会の開催も検討する。
(7) AIセキュリティ脅威にはAIセキュリティ能力の強化で対応…今後、高性能AIのセキュリティ活用の常態化や攻撃の武器化に備え、2027年からは国内の情報保護体制を独自のAI技術基盤へと転換し、AIセキュリティ主権を確立するためのさまざまなプロジェクトを企画・実行する。
ペ・ギョンフン氏は「サイバーセキュリティ分野におけるAIの発展速度は、最高レベルのハッカーに匹敵するほど速い状況であり、わが国もAI時代にふさわしいセキュリティ体制とグローバル協力を備えられなければ、AI三大強国への飛躍も揺らがざるを得ない。今回の対策を通じて、AI発の大規模な脆弱性公開に対応するための緊急体制を整え、わが国の技術とモデルを基盤としたAIセキュリティ主権の確立もスピード感を持って推進していく」と述べた。
(c)KOREA WAVE