「セキュリティの外注化」「民間・公的機関を問わないシステムの隙」「専門性の欠如した人材」――2025年4月以降、相次いで発生している深刻なサイバー侵害事件について、セキュリティ業界ではこれらの問題が根本原因だと指摘している。
高麗大学情報保護大学院のキム・スンジュ教授は次のように指摘する。
「国家全体のセキュリティ体制が深刻に損なわれている。どこに問題があるのかも把握しないまま場当たり的な対応だけしていては意味がない。韓国政府が推進しているホワイトハッカーの育成も同様だ。まずはどの分野で人材が不足しているのかを把握すべきだ」
もちろん、攻撃者の視点で脆弱性を先回りして特定するにはホワイトハッカーが必要だ。セキュリティ企業が提供する模擬ハッキング(ペネトレーションテスト)サービスも、そうした目的を果たすものだ。
だが、現在の状況は、いくつかの重大な脆弱性を塞ぐだけでは解決できるレベルではない。すでにITサプライチェーンは個別の機関では把握できないほど複雑化しており、移動通信3社や金融機関といった民間企業に加え、主要な政府機関までもが内部侵入を許している。
キム・スンジュ教授は「今こそ、システム全体の中にセキュリティを根本から組み込むことを考えねばならない。補完すべき領域ごとに必要とされる技術知識も異なる」と強調した。
◇「全体を見渡せる人がいない」
「IT人材がそれぞれ自分の担当領域しか理解しておらず、全体を俯瞰できていないのが問題だ。通信サービスを例に挙げると、通話音声から制御ネットワークまで、さまざまな構成要素がある。しかし、その全体的な流れを描ける人材がいない」
中央大学セキュリティ大学院のイ・ギヒョク教授はこう問題提起する。
さらに、セキュリティ業務の多くが外部委託されている現状も問題を深刻化させている。最近、ロシア系ランサムウェア組織「Qilin(キリン)」が韓国の中小資産運用会社20社以上を攻撃した際も、外注されていたIT業者1社を狙って目的を達成した。
「CISO(最高情報セキュリティ責任者)でさえ、専門性に欠けるケースが多く、政府が定めたガイドラインだけを守ればいいという姿勢が目立つ。企業の経営層(Cレベル)が目を覚まさねばならない。非専門家でも業務プロセスを踏めば基本的なセキュリティ要件を満たせるような体制作りが必要だ」
イ・ギヒョク教授はこう強調した。
実際、LG U+のホン・グァンヒCISO(最高情報セキュリティ責任者)も、2025年7月に政府主催の「情報保護カンファレンス」で同様の問題を提起している。CISOがCEO直属であるとはいえ、セキュリティの課題を1人で背負っている構造だと訴えた。
◇国・民・軍をまたぐ脆弱性の共有を
セキュリティ業務は、低い報酬と高い責任のプレッシャーにより、公的・民間問わず敬遠されがちだ。セキュリティをシステムに組み込もうにも、統制機関であるべきコントロールタワー自体に継続性と専門性が欠けている現実がある。
世宗大学情報保護学科のパク・ギウン教授は「セキュリティ責任者たちは任期が終わればすぐ辞めようとする。責任者が頻繁に入れ替わることで、急増するIT資産やサービスを把握するのがますます困難になっている」と語った。
業界専門家は、規制強化や見せかけの投資だけでは、現在の複合的な危機は乗り越えられないと口を揃える。官民が連携し、制度・インフラの抜け穴を洗い出すための「真のコントロールタワー」が必要だと強調する。
その意味で、「国家サイバー危機管理団」の役割が改めて注目されている。国家情報院と国家安保室を中心に2023年に発足したこの組織は、高度化するサイバー脅威に対応するための官民協力体制を目指すものである。
一方で、パク・ギウン教授は次のように指摘した。
「国防関連のハッキングは国防省、民間はKISA、公的機関は国家情報院と、それぞれ分かれて対応しているが、これは問題だ。攻撃者の視点から見れば、すべて同じ“システム”に見えている。脅威の動向や主要な脆弱性などを共有できる場が必要だ」
(c)news1
