Loading...

Loading...

JCIC logo

JCICコラム

------------------------------------------------------------------------
「韓国のサイバーセキュリティ政策の現状」
------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2018年9月7日

サイバーセキュリティの海外事例として、米国や英国、更にはイスラエルやエストニアのケースが多く引用されますが、韓国のサイバーセキュリティに関する有益な情報は意外にも少ないと感じています。しかし、地政学的に見ても隣国の政策や動向を理解することは、日本政府や民間企業の責任者が今後のサイバーセキュリティを考えるうえで、非常に有益になると考えています。
国連では、2年ごとに「電子政府ランキング」を発表しており、韓国は上位常連国となっています。今年7月に発表された最新のランキングでは、1位はデンマーク(前回9位)、2位はオーストラリア(前回2位)、そして3位は韓国(前回3位)でした。なお、日本は前回11位から少し順位を上げ、10位となりました。なぜ、日韓でこのような差が出てきているのでしょうか。

eGovernment-ranking
国連電子政府ランキングの上位20カ国の変遷 (出典:UNDESAの資料を基にJCIC作成)

韓国では、1997年の通貨危機後、IT化を徹底して行った結果、政府だけではなく、金融、医療、その他民間セクターでもIT化が進みました。また、2017年11月には、文在寅政権が「第四次産業革命対応国家戦略」を発表し、人工知能(AI)やIoT等の技術を活用して、社会課題の解決と産業育成を目指しています。

このようにIT化が進む韓国において、IT化とサイバーセキュリティのバランスをどのように保っているのかについて、現地でヒアリングを行いました。その結果、韓国の人口は日本の約半分ということを差し引いても、「監視体制の一元化」や「国民サポート」の観点で、日本政府や地方自治体、民間企業にとって大変参考になる情報を得ました。このコラムでは、韓国のサイバーセキュリティの現状について、紹介します。

■地方自治体のセキュリティ監視体制の一元化
日本の地方自治体では、2017年から「自治体情報セキュリティクラウド」の運用が開始されたことを、ご存知でしょうか。各区市町村のインターネット接続ポイントを47の都道府県ごとに集約して、セキュリティ機能を共同利用するものです。これにより、全国47通りのセキュリティオペレーションセンター(SOC)が立ち上がり、それぞれ独自の仕様で運用されているのが現状です。総務省は地方自治体のセキュリティ強化を目的に255億円の補助金を支出しましたが、その後の運営費用は各地方自治体が負担することになるため、将来的なサービスレベルのばらつきが懸念されます。
一方、韓国の「地域情報開発院サイバー侵害対応センター(KLID)」では、2013年から地方自治体(17の行政区域、225の市郡区)のセキュリティ監視を国家予算で一元的に行っています。わずか、26人の職員と40人の民間外部委託職員で地方自治体のセキュリティ運用を一元的に担い、有事の際は現地へ職員を派遣し、対応支援までも行っています。

eGovernment-ranking
韓国のサイバーセキュリティ体制図 (出典:JCIC作成)

■重要インフラ事業者へのセキュリティ監視の一元化
政府機関の韓国インターネット振興院(KISA)内にあるサイバー侵害対応本部(KISC)では、400システム以上の重要インフラシステムのセキュリティ管理を行っています。この内、約150システムは、民間の重要インフラ事業者のシステムです。これらのセキュリティ管理は、国費で負担しており、5つのサービス(24時間モニタリング、検知、分析、対応支援、国際連携)が提供されています。また、DDoS攻撃(サービス妨害攻撃)を受けたサイトは、国が用意するDDoS待避所を借りることができます。
日本に例えると、内閣サイバーセキュリティセンター(NISC)のGSOCセンサー(※)を府省庁等だけではなく、重要インフラ事業者にも設置し、インシデント対応を支援しているイメージです。
(※)GSOCセンサーとは、各省庁等へのサイバー攻撃を監視するシステムのこと。

■国民へのサイバーセキュリティに関するサポート体制
韓国では、行政機関への申請業務は全て電子申請を前提としており、国民はインターネット経由で行政サービスを利用します。一方、パソコンやスマートフォンの普及に伴い、セキュリティ上の懸念が増加しますが、セキュリティ知識の乏しい高齢者等に対して国が積極的にサポートを行っています。
例えば、KISAは、国民のパソコンやスマートフォンでマルウェア感染を検知した場合、インターネットサービスプロバイダ―(ISP)と連携して、国民の端末画面に警告メッセージと対処方法を強制的にポップアップ表示するシステムを運用しています。また、マルウェア駆除のためのワクチンソフトも国が提供しています。2017年には、12万台以上の感染パソコン、4万台以上の感染スマートフォンを対応しました。更には、国民のサイバーセキュリティを支援するために電話相談窓口(118電話相談センター )を開設しており、サイバーセキュリティに関する国民からの問い合わせ対応を行っています。

■まとめ
このように韓国政府はIT化を進めると同時に、積極的に国主導で「監視体制の一元化」や「国民サポート」を行っています。この韓国の政策をそのまま日本に適用することは難しいでしょう。なぜなら「政府による情報検閲」、「通信の秘密の侵害」、「民業圧迫」等といった議論を避けることはできないためです。しかし、日本全体でサイバーセキュリティレベルを向上させるためには、政府がどこまで民間企業のサイバーセキュリティに関与すべきか、デジタル社会における国民保護とは何かを議論する段階にきているのではないでしょうか。