韓国政府は、公共機関におけるクラウド導入に必要なセキュリティ規制を、国家情報院に一本化する案を検討している。従来の所管部署である科学技術情報通信省と比べ、国家情報院は産業振興よりも安全保障を重視する立場にあるため、公共セキュリティ市場への参入ハードルは一段と高くなるとの見方が出ている。
特に焦点となるのは、海外系クラウド事業者(CSP)の扱いだ。韓国国内にデータセンターを持たない海外CSPは、機密性の高いデータを扱う公共事業を受注するのが難しくなる可能性が高い。
業界によると、科学技術情報通信省と韓国インターネット振興院(KISA)は、クラウド規制の一元化に関する議論を共有するため、最近、国内クラウド業界向けの説明会を開いた。
説明会では、科学技術情報通信省とKISAが所管してきた「クラウドサービスセキュリティ認証(CSAP)」を完全に民間の自主認証へ移行し、公共クラウドに関する規制は国家情報院のセキュリティ審査に一本化する方針が示された。この内容は国家人工知能戦略委員会とも共有されている。国家AI大転換を進める同委員会は、公共機関に対して民間クラウドの導入を積極的に促している。
業界では、公共事業の受注にCSAP認証が必須でなくなる点については、おおむね歓迎する声が多い。これまではCSAPと国家情報院のセキュリティ審査の両方を取得する必要があり、「二重規制」だとの批判があったためだ。業界では、国家情報院が従来CSAPで扱ってきたセキュリティ要件を吸収し、新たなガイドラインを示すと見ている。
一方、CSAPの「下位等級」を取得し、公共市場参入を準備してきた海外CSPにとっては想定外の展開となった。アマゾン・ウェブ・サービス(AWS)、マイクロソフト、グーグルクラウドなどが代表例だ。
業界関係者は「国内にデータセンターを持たない事業者の場合、CSP中・上位等級が求められる機微な公共事業の受注は難しいだろう。サイバー侵害やデータ流出が起きた際、国家情報院が現地調査できないためだ」と説明する。
こうしたインフラ要件については、一種の非関税貿易障壁だとの批判が出る可能性もある。ただし、産業振興を担う科学技術情報通信省とは異なり、国家情報院は多少の通商摩擦が生じても安全保障を優先せざるを得ない、との見方が業界では支配的だ。
国家情報院にとっては、新たな認証制度の全体像を迅速に業界へ提示することが課題となる。認証内容次第で、公共クラウド市場の競争環境や成長性が大きく左右されるためだ。
(c)news1
