韓国の代表的なホワイトハッカーで、セキュリティコンサルティングのスタートアップ「Theori」のパク・セジュン代表がこのほど、news1のインタビューに応じ、「韓国企業・機関はクラウドへの移行や人工知能(AI)の導入により、デジタルインフラは複雑化しているが、企業内部の資産を把握しきれていない」と危惧した。
パク・セジュン代表は、世界最大のホワイトハッカー大会「DEFCON CTF」で最多優勝記録を持ち、最近も韓国・米国・カナダの連合チーム「MMM」を率いて3連覇を果たした。この経歴を生かしてTheoriを設立し、多くの企業のデジタルインフラを診断してきた。
パク・セジュン代表によると、資産間の複雑な関係性を理解することがセキュリティの鍵だという。特に脆弱な資産を中心に、その周辺資産がどのように影響を受けるかを検討する必要があると強調した。
さらに、AIチャットボット導入が予期せぬ攻撃の窓口を生む可能性があると警告した。多くの企業が業務の自動化を目指してAIチャットボットを採用しようとしているが、この技術が企業の敏感な情報にアクセスできるリスクを伴っているとみている。
パク・セジュン代表によると、AIチャットボットのサービスは企業のデータベースやAIモデルなどの複数の資産が結びついており、特にAIモデルが外部ネットワークと接続されている場合、攻撃者がそこから侵入し、機密情報にまでアクセスする可能性があると指摘する。こうした資産の関係性を理解することが、サービス障害時の対応の出発点になるという。
また、脆弱性を隠すことなく、ホワイトハッカーに積極的に検証を依頼する文化を築く必要があると提言している。ホワイトハッカーによる模擬侵入テストや「バグバウンティ」の活性化も一つの方法だ。
多くの企業や機関が脆弱性の存在自体をタブー視しているが、早期発見と修正が重要であり、北朝鮮のハッキング組織が依然として既存の脆弱性を利用してフィッシングやマルウェア攻撃を仕掛けていると警告する。
実際にTheoriは北朝鮮発の攻撃を受け、防御に成功した経験があるという。その対策を依頼してきた顧客もいる。
パク・セジュン代表は「今後、セキュリティ専門家の不足が懸念されている。これを解決するためには情報保護規制の強化が必要だ」と強調する。国内情報保護産業実態調査によると、データセキュリティ企業の4社中3社が人材確保に困難を抱えている。
「市場が拡大しなければ優秀な人材を確保することは難しい。国内市場には限界がある」。パク・セジュン代表はこう指摘しながら、企業がセキュリティ投資を「単なるコスト」として捉えている現状を批判した。
(c)news1